文档章节

CAS集群解决方案

杨武兵
 杨武兵
发布于 2013/04/08 13:27
字数 1753
阅读 1559
收藏 26

1. 总体方案

本方案的目的是搭建一个高可用,高可伸缩的中心认证服务。环境是CAS服务器是可任意扩展的,任意一个CAS服务节点均是等效的,CAS服务器的状态信息是集中存储的;CAS服务的客户端应用也是集群的环境,客户端应用服务器也是可任意扩展的,客户端应用的session状态信息是集中存储的,任意两个应用服务节点都是等效的;CAS服务器和客户端应用的状态信息集中存储在缓存服务器Memcached上。该方案具有以下特性。

只支持Tomcat6.xTomcat7.x

无单点故障。

能够应对Tomcat故障转移。

能够应对memcached故障转移。

 



 

 注意:上述方案中有一个问题是如果cas服务端应用程序或者客户端应用程序将某些状态数据直接存储在jvm本地对象中的时候,则节点会出现不等效的情况,甚至出现不稳定的故障。该问题的解决办法是:1.避免这样的情况。2.同步各jvm实例之间的所有对象。

1.1. 正常登录流程(未单点登录)讨论

 


 
 

讨论用户的浏览器里无TGT cookie值,即未曾登录过CAS服务器。

1. 用户浏览器访问必联网受保护的资源,假设用户未登录必联网应用,由于必联网各节点的session状态集中存储,则任意一个节点都是等效的。

2. 用户浏览器被转发请求到cas服务器。同时会带上参数service,即带上必联网的URL地址。

3. 用户访问cas服务的/login地址。用户的cookie中不存在TGT值。Cas服务器生成LT,并返回登录页面给用户浏览器。

4. 用户在登录页面上输入正确的用户名和密码,提交到cas服务器。

5. cas服务器接收到用户的凭证信息。经过验证后,若正确,则生成TGT,并存储在Ticket仓库中,由于带上了service参数值,同时cas会为该service生成ST值。然后返回到用户浏览器,将TGT值写入到用户浏览器的cookie中,同时将浏览器重定向都service参数值制定的url值,附带参数ticket=ST值。

6. 用户再次访问必联网受保护资源。带上参数值ticket=ST。必联网应用中的过滤器检测到带有该参数后,会将参数serviceticket的值发送请求给casURL地址/serviceValidate。该地址会校验ST。校验结束后会返回一个校验结果给客户端应用,如果正确则会返回登录的用户名。客户端应用则会在本应用为该用户执行登录后处理,如加载用户信息和权限等放入到session中。至此登录完成。

7. 考虑用户访问到不同的服务器上。如用户第一次访问到必联网应用节点1,第二次访问都必联网节点2上,由于session信息是共享的,则两个节点是等效的。若用户第一次访问到cas节点1,第二次访问cas节点2,由于session和票据信息是共享集中存储的,用户访问到任意节点都是等效的,票据在任意节点都能够得到有效地认证。

结论:该情况的流程集群不存在问题。

 

1.2. 已单点登录流程





 
  

当用户浏览器有合法的TGT,即用户浏览器已经登录过CAS服务器。在这种情况下,用户再访问必联网,用户未登录必联网应用。

1. 用户访问必联网受保护的资源,由于必联网各节点的session状态集中存储,则任意一个节点都是等效的。由于用户未登录必联网应用,则会拦截该请求,将其请求转发到CAS服务器,同时会带上参数service,即带上必联网的URL地址。

2. 用户访问cas服务的/login地址。由于已经登录过cas服务器,则用户的cookie中存在TGT值,在对该TGT值进行验证,若正确,由于带上了service参数值,同时cas会为该service生成ST值。然后返回到用户浏览器,同时将浏览器重定向都service参数值制定的url值,附带参数ticket=ST值。

3. 用户再次访问必联网受保护资源。带上参数值ticket=ST。必联网应用中的过滤器检测到带有该参数后,会将参数serviceticket的值发送请求给casURL地址/serviceValidate。该地址会校验ST。校验结束后会返回一个校验结果给客户端应用,如果正确则会返回登录的用户名。客户端应用则会在本应用为该用户执行登录后处理,如加载用户信息和权限等放入到session中。至此登录完成。

4. 考虑用户访问到不同的服务器上。如用户第一次访问到必联网应用节点1,第二次访问都必联网节点2上,由于session信息是共享的,则两个节点是等效的。若用户第一次访问到cas节点1,第二次访问cas节点2,由于session和票据信息是共享集中存储的,用户访问到任意节点都是等效的,票据在任意节点都能够得到有效地认证。

结论:该情况的流程集群不存在问题。

 

 

1.3. 统一登出流程




 
 

假设用户A已经统一登录过CAS服务器节点1,必联网节点2和招标网节点1。用户这个时候想统一登出所有系统。要经过以下流程。

1. 用户A通过浏览器访问CAS服务器节点2的登出路径/logoutCAS服务器由于配置了集中存储session和票据,因此可以识别该用户的信息;首先销毁该用户对应的TGTCAS服务器的session信息。然后循环退出所有的已登录服务。

2. 退出用户A登录的必联网服务。假如CAS服务调用的是必联网节点1的登出地址,由于session共享,该节点能够正确地退出该用户,销毁该用户的session及其它登录信息。

3. 退出用户A登录的招标网服务。假如CAS服务调用的是招标网节点2的登出地址,由于session共享,该节点能够正确地退出该用户,销毁该用户的session及其它登录信息。

结论:该情况的流程集群不存在问题。

© 著作权归作者所有

共有 人打赏支持
杨武兵

杨武兵

粉丝 253
博文 61
码字总数 123254
作品 1
昌平
架构师
私信 提问
CAS server和CAS Client 各类文章总结

CAS ( Central Authentication Service ) 是 Yale 大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(属于 Web SSO )。CAS集群部署首先需要考虑的...

afreon
2016/11/24
22
0
CAS SSO单点登录ajax请求拦截,白名单循环重定向。

[背景] 公司有多个产品现需要实现多个产品之间的单点登录,现在采用的开源项目cas做的单点登录。 [需求] 现在阶段存在一下问题: 1、通过白名单实现URL过滤,过滤过程中会出现循环重定向的问...

allen_2288
2016/06/02
40
5
Navigate 2017:新华三9款重量级产品曝光

在4月8日举行的新华三Navigate2017领航者峰会上,新华三集团高级副总裁、首席技术官尤学军为我们带来了新华三9款产品的重磅发布,这9款产品分别涉及云计算、大数据、网络、安全等几大核心领域...

玄学酱
04/13
0
0
开源 MIS 系统解决方案--jeeww

jeeww 是基于 spring+spring mvc+spring security+hibernate 为主的开源 MIS 系统解决方案,以 Maven 进行项目模块间的管理,便于扩展和管理,层次清晰,打造敏捷、清晰易用、松耦合、易扩展...

道在何方
2014/12/15
7.8K
1
企业级开源单点登录解决方案 - CAS

CAS 是 Central Authentication Service 的缩写 —— 中央认证服务,一种独立开放指令协议,是 Yale 大学发起的一个企业级开源项目,旨在为 Web 应用系统提供一种可靠的 SSO 解决方案。 CAS ...

匿名
11/22
0
0

没有更多内容

加载失败,请刷新页面

加载更多

为什么只有你每次提交代码,log里面会出现merge

http://www.cnblogs.com/Sinte-Beuve/p/9195018.html

踏破铁鞋无觅处
1分钟前
0
0
如何学习大数据:spark发布程序

一、对于spark程序只是用于默认的spark包的情况 直接点击pcakage 将程序进行在linux当中进行发布 客户端模式:测试 spark-submit --class com.keduox.App \ --master yarn \ --deploy-mode ...

架构师springboot
1分钟前
0
0
oracle job(定时任务)

创建 定时任务 job declare job number;BEGIN DBMS_JOB.SUBMIT( JOB => job, -- job任务的唯一标识(自动生成) WHAT => 'INSERT into TEXTL (id) VALUES(TEXT......

骑羊放狼灬
5分钟前
0
0
Spring声明式事务在抛出异常时不回滚(RollBack)

Spring声明式事务默认只在RuntimeException时Rollback(回滚),不当的try catch会导致事务不回滚。 spring事务默认运行时异常回滚,RuntimeException 配置时添加异常回滚 rollback-for="Th...

叶落花开
5分钟前
0
0
赋能时空云计算 阿里云数据库时空引擎Ganos上线

随着移动互联网、位置感知技术、对地观测技术的快速发展,时空信息已从传统GIS行业渗透到大众应用及各行各业。从静态POI(兴趣点)到APP位置信息,从导航电子地图到车辆行驶轨迹,从卫星影像...

阿里云云栖社区
7分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部