Apereo CAS协议2.0规范详解
项目地址: https://gitcode.com/gh_mirrors/ca/cas 协议概述
Apereo CAS(Central Authentication Service)是一个开源的企业级单点登录系统。CAS协议2.0是该系统的核心认证协议规范,定义了客户端与服务端之间的交互方式。本文将深入解析CAS 2.0协议的关键组成部分。
核心概念
基本术语
- Client:终端用户或Web浏览器
- Server:中央认证服务服务器
- Service:客户端尝试访问的应用程序
- Back-end service:服务代表客户端尝试访问的应用程序(也称为目标服务)
关键组件
- Ticket:临时凭证,用于验证用户身份
- Session:单点登录会话
- Proxy:代理认证机制
核心URI接口
1. /login接口
/login接口具有双重行为:凭证请求者和凭证接受者。
凭证请求者模式
主要参数:
service(可选):目标应用的标识符(通常是URL)renew(可选):强制要求重新认证gateway(可选):非交互式认证尝试
响应类型:
- 用户名/密码认证:返回登录表单
- 信任认证:根据部署策略决定行为
- 单点登录认证:检查现有会话
凭证接受者模式
通用参数:
service(可选):成功认证后重定向的URLwarn(可选):禁止透明认证
用户名/密码认证特有参数:
username(必需):用户名password(必需):密码lt(必需):登录票据
响应:
- 成功:重定向到service参数指定的URL,附带服务票据
- 失败:返回登录页面并显示错误信息
2. /logout接口
用于销毁客户端的单点登录会话。
参数:
url(可选):注销后显示的链接
响应: 显示注销成功页面,可选包含提供的URL链接
票据验证接口
1. /validate(CAS 1.0)
基本票据验证接口,不支持代理认证。
参数:
service(必需):服务标识符ticket(必需):服务票据renew(可选):要求票据必须来自主凭证
响应格式:
yes<LF>
username<LF>
或
no<LF>
<LF>
2. /serviceValidate(CAS 2.0)
增强的票据验证接口,支持XML响应和代理授权。
参数:
service(必需):服务标识符ticket(必需):服务票据pgtUrl(可选):代理回调URLrenew(可选):要求票据必须来自主凭证
响应格式: 成功时返回包含用户信息和代理授权票据的XML,失败时返回错误信息的XML。
错误代码:
- INVALID_REQUEST
- INVALID_TICKET
- INVALID_SERVICE
- INTERNAL_ERROR
3. /proxyValidate(CAS 2.0)
支持代理票据验证的接口。
参数和响应格式与/serviceValidate类似,但能处理代理票据。
代理机制
代理回调流程
- 服务在验证时提供pgtUrl参数(必须是HTTPS)
- CAS验证SSL证书有效性
- CAS通过GET请求回调pgtUrl,传递pgtId和pgtIou
- 服务接收回调并关联票据信息
代理票据获取
使用/proxy接口通过代理授权票据获取代理票据。
票据类型详解
- 服务票据(ST):一次性使用的短期票据
- 票据授权票据(TGT):长期会话票据
- 代理授权票据(PGT):用于获取代理票据
- 代理票据(PT):用于代理认证
- 登录票据(LT):防止CSRF攻击
安全注意事项
- 所有敏感通信应使用HTTPS
- 票据应有合理的有效期
- 代理回调必须验证SSL证书
- 登录表单应包含防CSRF机制
最佳实践
- 服务验证时应检查票据与服务的匹配
- 合理设置票据有效期平衡安全与用户体验
- 实现适当的错误处理和日志记录
- 考虑使用CAS客户端库简化集成
通过深入理解CAS 2.0协议规范,开发者可以更好地实现和维护基于Apereo CAS的单点登录系统,确保安全可靠的认证流程。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
