婚庆手机版网站建设,有哪些专门做创意门头的网站,网站建设市场定位,广州旅游网站建设最近学习CAS单点登录#xff0c;所以在网上找了两张比较清晰的原理图以供参考#xff1a; 【CAS浏览器请求认证序列图】 其中#xff1a;* ST#xff1a;Service Ticket#xff0c;用于客户端应用持有#xff0c;每个ST对应一个用户在一个客户端上* TGT#xff1a;Tick… 最近学习CAS单点登录所以在网上找了两张比较清晰的原理图以供参考 【CAS浏览器请求认证序列图】 其中* STService Ticket用于客户端应用持有每个ST对应一个用户在一个客户端上* TGTTicket Granting Ticket存储在CAS服务器端和用户cookie两个地方 【CAS服务器端登陆流程图】 3.1.1. parameters 下面的HTTP请求的参数可通过/login这时它作为凭证索取者。他们都是区分大小写的他们都必须处理/login。 · service[可选] -客户端尝试访问的应用的标识符。在几乎所有情况下这将是应用的URL。请注意作为一个HTTP请求的参数此URL的值必须是符合RFC 中URL编码的描述。详情参见RFC 1738 [ 4 ]的第2.2节。如果没有指定service并且单点登录session尚不存在CAS应要求具有凭证的用户发起一个单点登录session。如果没有指定service但单点登录session已经存在CAS应显示一条消息通知客户这是已经登录 · Renew[可选] -如果此参数设置单点登录将被绕过。在这种情况下CAS将要求客户提交证书不论是否存在一个CAS的单点登录session。这个参数与“gateway”参数不兼容。服务重定向到/login的URI和登录表单视图张贴在/login的URI中的值不应同时出现在“renew”和“gateway”请求参数。两个参数都设置这种行为是未定义的。CAS推荐在实施时如果设置“renew”参数则忽略“gateway”参数。推荐当设置“renew”参数时其值应该为“true”。 注也就是说https://server/cas/login?serviceserviceUrlrenewtruegatewaytrue这种参数传递是错误的不能同时出现两个参数。 注CAS协议允许客户端选择是否跳出单点登录这就是renew。它允许一个客户端通知CAS服务器总是验证一个用户不管一个单点登录的session是否存在。这是一个非常有用的属性当一个特定的使用CAS认证机制的服务允许访问敏感资料时它能强迫CAS重新认证一个用户确保登录的是一个正确的用户。这时那个应经存在的单点登录session应该是被终止的。使用这个属性通知CAS重新验证凭证时客户端应用应该中定向用户到以下的URL上 https://server/cas/login?serviceserviceUrlrenewtrue 当请求验证这个票据时客户端可以要求CAS确保这个票据是来自一个新的认证请求。 应用场景可参见部署的客户端集成示例bookshop改变该参数值体验效果。 · Gateway[可选] -如果这个参数设定CAS将不会向客户端索要凭据。如果客户端有一个已存在的CAS单点登录的session或者如果单点登录session可以通过非交互方式i.e. trust authentication信托认证建立CAS可以将客户端请求重定向到“service”参数指定的URL而且还加上有效的服务票据Service TicketST。 CAS还可以插入一个通知页面通知客户端一个CAS认证已经发生了。 如果客户端没有CAS单点登录的session并且也不可能通过非交互方式建立认证CAS必须将客户端重定向到“service”参数指定的URL并且不在URL后面附加“ticket”。如果“service”参数未指定但设置了“gateway”参数CAS将认为这种行为未定义。在这种情况下推荐如果两个参数都没有指定CAS应要求凭据。同样这个参数与“renew”参数不兼容。如果要设置“gateway”参数推荐设置为“true”。 注 应用场景可参见部署的客户端集成示例bookshop改变该参数值体验效果。 总结“renew”参数的作用在存在SSO session的情况下client请求访问资源是重新认证用户信息还是不用认证放这个请求过去。 “gateway”参数的作用与“renew”参数相反“gatewaytrue”时是指只要存在SSO session就不用重新认证了。 Renew始终要求用户进行主认证所谓主认证就是借助于/login进行的认证操作此时IE用户必须手工提供自身的帐号信息。基于TGC、PT的登录都不属于主认证。相比之下gateway始终不会允许CAS服务器丢出/login登录页面给IE用户从而不可能进行主认证。只要gatewaytrue则永远进不到/login登录页面只有确认用户能从其他途径得到SSO session才可以设置true。转载于:https://www.cnblogs.com/littlehb/p/8257966.html
