参考CAS流程并利用JWT的key共享实现单点登陆

最新推荐文章于 2025-04-11 09:48:14 发布
最新推荐文章于 2025-04-11 09:48:14 发布
阅读量3.6k 收藏 3
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_16320025/article/details/90039162
本文介绍了一个企业在发展过程中如何通过修改CAS标准流程,结合JWT的key共享来实现单点登录,以简化运营人员的登录操作。在原有流程基础上,第三步生成的ST由JWT代替,JWT的key在SSO和各子应用间共享,从而在本地验证ST的有效性。由于采用前后端分离,ST被放入请求header中,并在每个子应用中进行校验。此外,还讨论了如何在SSO系统中管理用户权限并提供接口供子系统获取权限列表。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

背景

在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,运营人员每天用自己的账号登录,很方便。
但随着企业的发展,用到的系统随之增多,运营人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,这对于运营人员
来说,很不方便。于是,就想到是不是可以在一个系统登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。

单点登录英文全称Single Sign On,简称就是SSO。它的解释是:在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统。

 

CAS标准流程:

具体流程描述如下:

  1. 用户访问app系统,app系统是需要登录的,但用户现在没有登录。
  2. 跳转到CAS server,即SSO登录系统,以后图中的CAS Server我们统一叫做SSO系统。 SSO系统也没有登录,弹出用户登录页。
  3. 用户填写用户名、密码,SSO系统进行认证后,将登录状态写入SSO的session,浏览器(Browser)中写入SSO域下的Cookie。
  4. SSO系统登录完成后会生成一个ST(Service Ticket),然后跳转到app系统,同时将ST作为参数传递给app系统。
  5. app系统拿到ST后,从后台向SSO发送请求,验证ST是否有效。
  6. 验证通过后,app系统将登录状态写入session并设置app域下的Cookie。

至此,跨域单点登录就完成了。以后我们再访问app系统时,app就是登录的。接下来,我们再看看访问app2系统时的流程。

最低0.47元/天 解锁文章

200万优质内容无限畅学
蓝之刃
关注
CAS结合jwt实现系统登录思路
方方园园的博客
05-18 5406
传统的CAS集成方式主要有以下几个步骤: 1)用户访问应用系统资源,需要登录时重定向到CAS客户端,重定向链接包含Service(当前请求CAS系统的应用系统的URL)参数; 2)用户在CAS客户端进行身份认证; 3)认证通过后,CAS服务端产生一个随机的 Ticket,CAS服务端以Ticket为参数重定向到步骤1)中的Service; 4)应用系统以Ticket为参数,请求CAS服务端API,验证Ticket的合法性; 5)CAS服务端验证Ticket合法后,返回用户信息给应用系统,应用系统本地保存用户
cas jwt 单点登录
Rika_Sir_Zhong的博客
05-08 1983
单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处。自从上次研究过JWT如何应用于会话管理,加之以前的项目中也一直在使用CAS这个比较流行的单点登录框架,所以就一直在琢磨如何能够把JWT跟单点登录结合起来一起使用,尽量能把两种技术的优势都集成到项目中来。本文介绍我从CAS思考得出的SSO的实现方案。 ** 前...
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
基于springboot框架,前后端分离模式下的shiro + pac4j +cas实现统一登录功能,子应用采用shiro鉴权,通过pac4j与cas交互,最终向前端返回jwt token
jwt有公钥私钥吗
m0_57236802的博客
03-26 1137
是的,JSON Web Tokens (JWT) 在使用RS256(RSA Signature with SHA-256)这类基于RSA的签名算法时,会涉及到公钥和私钥。JWT也可以使用对称密钥(如HS256 - HMAC with SHA-256)进行签名,但在这种情况下,只使用一个密钥来签名和验证,这个密钥在发送者和接收者之间共享
Cas vue jwt方式 前后端分离单点登陆
lly983909814的博客
03-16 1320
需求 根据领导要求集成cas 客户端到我的服务上面,我的服务是基于jwt的方式进行登陆验证的。 看了很多博客都是基于net.unicon.cas-cas-client-autoconfig-support的方式集成到服务中的。 原理 官方cas单点登陆时序图 思路 实现 基础变量 public String casServerUrl = "https://xxx/cas/login"; public String casServerLogoutUrl = "https://xxx/cas/
cas jwt shiro pac4j springboot认证中心sso完整项目
05-05
前后端分离模式下的cas + shiro + pac4j,cas作为认证中心,子应用采用shiro鉴权,通过pac4j与cas交互,返回jwt token,完整项目,基于springboot框架
JWT单点登录
IT_cpx的博客
05-21 363
JWT单点登录 什么是JWT介绍的比较清楚 https://www.cnblogs.com/yan7/p/7857833.html JWT的优势和劣势等 https://www.jianshu.com/p/af8360b83a9f https://www.cnblogs.com/cjsblog/p/9277677.html 注册过程中,密码从前台在传输到后台过程中,如何防止密码被窃取或篡改? 前台...
Spring Boot 3 实现 SSO 单点登录的多种解决方案
最新发布
nihao2q的博客
04-11 1491
登录成功后,认证中心签发 JWT(JSON Web Token);子系统间共享公钥进行验证,避免中心化管理,系统无状态化。
项目中用到的单点登录技术
qq_44793993的博客
09-05 817
文章目录谈谈单点登录项目中用到的单点登录CAS server/client登录流程简述登出流程简述高可用单点登录的安全性 公司项目的登录系统用到了单点登录技术,面试的时候被问到了,现在做个总结 谈谈单点登录 单点登录技术简单说,就是避免用户访问不同子系统二次登录的问题,尤其是大型项目中,业务子系统通常都是根据业务模块单独部署服务器的。 对于同一个系统下访问,或者同源系统下的访问,使用cookie传递认证信息就可以实现会话信息的共享,从而实现单点登录。 同源策略是浏览器产品的一种约定,是一种安全策略,如果两
这是JWT 简单使用
htydowd的博客
05-24 1027
使用和 生成 JWT 相同的 秘钥,因为 token中已经有 算法信息了,所以不用再设置算法。确定 使用的加密算法,jjwt 工具包已经 给我们提供好了各种加密算法的枚举。如果 token 失效 或者 加密 秘钥和解密秘钥 不同,都会解析失败。解析获取到 Claims 对象,可以获取 body 中的数据。另外,可以构建 JWT 的创建时间 和 失效时间。OK,Java工具包如下,使用 jjwt。构建Body部分,该部分 是一个 Map。头部,记录 使用的 加密算法的类型。Body,记录一些额外信息。
jwt 私钥_浅析JWT
weixin_35835184的博客
12-30 3497
点击?蓝色“深入原理”,关注“设为星标”技术干货,第一时间推送1 JWT原理介绍 1、JWT 的原理JWT 的原理是,服务器认证以后,生成一个 JSON 对象,发回给用户,就像下面这样。{ "姓名": "张三", "角色": "管理员", "到期时间": "2020年9月1日0点0分"}以后,用户与服务端通信的时候,都要发回这个 JSON 对象。服务器完全只靠这个对象认定用...
解锁互联网安全的新钥匙:JWT(JSON Web Token)
weixin_74268571的博客
10-13 2215
JWT互联网安全,JWT的简介,讲解了JWT的工作原理和JWT是如何工作的,JWT认证和session认证又有什么区别。介绍了JWT的结构和工具类的使用,以及案例的讲解
利用pac4j的封装,实现自定义cas校验ST、集成jwt
zzzgd_666的博客
08-12 6565
利用pac4j-cas的封装,实现自定义cas校验ST、集成jwt关于pac4j-caspac4j-cas和shiro正题,代码验证ST代码 关于pac4j-cas 这几天一直在折腾pac4j-cascas的集成. 也大概了解了一下它的运作机制。 首先我们配置了一堆关于cascas-client的相关信息 我这边观察到的pac4j-cas两个关键的过滤器,io.buji.pac4j.filter.SecurityFilter和io.buji.pac4j.filter.CallbackFilter, S
一文带你了解JWT
weixin_53365166的博客
10-08 594
HTTP协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据HTTP协议,我们不能知道是哪个用户发出的请求.所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证.
jwt 私钥_什么是基于JWT的身份验证的密钥,以及如何生成密钥?
weixin_39609887的博客
12-21 1204
Recently I started working with JWT based authentication. After user login, a user token is generated which will look like"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikpv...
JWT入门
weixin_64987028的博客
05-19 1585
一、JWT简介 1.什么是JWTJWT(JSON WEBTOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式)。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称;狭义上JWT指的就是用来传递的那个token字符串。 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2.为什么要使用JWT? ...
JWT加密解密案例
thinkers
06-19 1万+
------1,创建一个用户对象Userpackage com.xforceplus.hera; public class User { private String userName; private String password; private String tel; public User(String userName,String password,...
生成JWT公钥私钥
blog_zxb的博客
10-25 986
# 生成jwt公钥私钥 $ keytool -genkeypair -alias mytest -keyalg RSA \ -keypass mypass -keystore mytest.jks -storepass mypass # -alias 别名 # -keyalg 算法 # -keypass 私钥的密码 # -keystore 存储公钥和私钥的文件名 # -storepas...
使用jwt完成sso单点登录
热门推荐
weixin_41282397的博客
12-17 1万+
JWT 在了解jwt之前,先了解一下常用的会话管理 基于server-session的管理方式 cookie-based的管理方式 token-based的管理方式 一.基于server-session的管理 服务端session是用户第一次访问应用时,服务器就会创建的对象,代表用户的一次会话过程,服务器为每一个session都分配一个唯一的sessionid,以保证每个用户都有一个不同...
jwt单点登录和退出
01-23
### JWT 单点登录与退出机制实现原理 #### JWT单点登录的实现原理 在分布式系统环境中,使用JSON Web Token (JWT) 来表示用户身份信息可以有效简化跨多个服务的身份验证流程[^1]。当用户首次通过用户名和密码成功认证后,服务器会生成一个包含用户声明(claims)的JWT令牌返回给客户端。这个令牌包含了用户的必要信息以及签名用于保证数据完整性。 每次请求受保护资源时,客户端都需要携带此JWT作为凭证传递给API网关或其他微服务组件。由于这些服务共享相同的密钥或公私钥对来解码和校验接收到的token,因此无需再次向原始授权服务器发起查询就能确认访问者的合法性,从而实现了无缝切换不同应用而不需要重复登陆的功能——即所谓的“单点登录”。 ```java // Java代码片段展示如何创建JWT token String jwtToken = Jwts.builder() .setSubject(user.getUsername()) .claim("authorities", user.getAuthorities().stream() .map(GrantedAuthority::getAuthority).collect(Collectors.toList())) .signWith(SignatureAlgorithm.HS512, secretKey) .compact(); ``` #### JWT单点登出的挑战及其解决方案 对于传统的Session-based SSO方案来说,注销操作相对简单明了:只需销毁存储于中央认证中心(CAS)[^2] 的session对象即可使所有关联的应用同步失效。然而,在无状态的JWT体系下情况有所不同: - **无法立即全局废除**:一旦签发之后,除非达到预设的有效期(TTL),否则没有办法强制让某个特定实例作废; - **黑名单策略**:一种常见的做法是在应用程序内部维护一份已撤销tokens列表(blacklist),每当收到新的请求都会先检查它是否存在于该集合内再决定放行与否;不过这种方法增加了额外开销不总是推荐采用; 更优的方式可能是调整架构设计思路,比如引入短生命周期加自动刷新机制(refresh tokens pattern): 正常业务交互过程中保持较短存活时间的工作access_token; 同时发放有效期较长但权限受限的refresh_token用来换取新版本前者而不必每次都重新经历完整的鉴权过程。如此一来即使发生意外泄露事件也能迅速控制影响范围最小化风险暴露窗口[^3]. ```java // 配置安全框架中的登出路由 @Override protected void configure(HttpSecurity http) throws Exception { http.logout() .logoutUrl("/api/logout") .addLogoutHandler((request, response, authentication) -> { String authTokenHeader = request.getHeader("Authorization"); if(authTokenHeader != null && authTokenHeader.startsWith("Bearer ")) { // 可选: 将当前token加入黑名单逻辑... } }) .deleteCookies("JSESSIONID") // 清楚cookie中可能存在的会话id .invalidateHttpSession(true); // 注销http session } ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值