文档章节

CAS集群解决方案

杨武兵
 杨武兵
发布于 2013/04/08 13:27
字数 1753
阅读 1526
收藏 26

1. 总体方案

本方案的目的是搭建一个高可用,高可伸缩的中心认证服务。环境是CAS服务器是可任意扩展的,任意一个CAS服务节点均是等效的,CAS服务器的状态信息是集中存储的;CAS服务的客户端应用也是集群的环境,客户端应用服务器也是可任意扩展的,客户端应用的session状态信息是集中存储的,任意两个应用服务节点都是等效的;CAS服务器和客户端应用的状态信息集中存储在缓存服务器Memcached上。该方案具有以下特性。

只支持Tomcat6.xTomcat7.x

无单点故障。

能够应对Tomcat故障转移。

能够应对memcached故障转移。

 



 

 注意:上述方案中有一个问题是如果cas服务端应用程序或者客户端应用程序将某些状态数据直接存储在jvm本地对象中的时候,则节点会出现不等效的情况,甚至出现不稳定的故障。该问题的解决办法是:1.避免这样的情况。2.同步各jvm实例之间的所有对象。

1.1. 正常登录流程(未单点登录)讨论

 


 
 

讨论用户的浏览器里无TGT cookie值,即未曾登录过CAS服务器。

1. 用户浏览器访问必联网受保护的资源,假设用户未登录必联网应用,由于必联网各节点的session状态集中存储,则任意一个节点都是等效的。

2. 用户浏览器被转发请求到cas服务器。同时会带上参数service,即带上必联网的URL地址。

3. 用户访问cas服务的/login地址。用户的cookie中不存在TGT值。Cas服务器生成LT,并返回登录页面给用户浏览器。

4. 用户在登录页面上输入正确的用户名和密码,提交到cas服务器。

5. cas服务器接收到用户的凭证信息。经过验证后,若正确,则生成TGT,并存储在Ticket仓库中,由于带上了service参数值,同时cas会为该service生成ST值。然后返回到用户浏览器,将TGT值写入到用户浏览器的cookie中,同时将浏览器重定向都service参数值制定的url值,附带参数ticket=ST值。

6. 用户再次访问必联网受保护资源。带上参数值ticket=ST。必联网应用中的过滤器检测到带有该参数后,会将参数serviceticket的值发送请求给casURL地址/serviceValidate。该地址会校验ST。校验结束后会返回一个校验结果给客户端应用,如果正确则会返回登录的用户名。客户端应用则会在本应用为该用户执行登录后处理,如加载用户信息和权限等放入到session中。至此登录完成。

7. 考虑用户访问到不同的服务器上。如用户第一次访问到必联网应用节点1,第二次访问都必联网节点2上,由于session信息是共享的,则两个节点是等效的。若用户第一次访问到cas节点1,第二次访问cas节点2,由于session和票据信息是共享集中存储的,用户访问到任意节点都是等效的,票据在任意节点都能够得到有效地认证。

结论:该情况的流程集群不存在问题。

 

1.2. 已单点登录流程





 
  

当用户浏览器有合法的TGT,即用户浏览器已经登录过CAS服务器。在这种情况下,用户再访问必联网,用户未登录必联网应用。

1. 用户访问必联网受保护的资源,由于必联网各节点的session状态集中存储,则任意一个节点都是等效的。由于用户未登录必联网应用,则会拦截该请求,将其请求转发到CAS服务器,同时会带上参数service,即带上必联网的URL地址。

2. 用户访问cas服务的/login地址。由于已经登录过cas服务器,则用户的cookie中存在TGT值,在对该TGT值进行验证,若正确,由于带上了service参数值,同时cas会为该service生成ST值。然后返回到用户浏览器,同时将浏览器重定向都service参数值制定的url值,附带参数ticket=ST值。

3. 用户再次访问必联网受保护资源。带上参数值ticket=ST。必联网应用中的过滤器检测到带有该参数后,会将参数serviceticket的值发送请求给casURL地址/serviceValidate。该地址会校验ST。校验结束后会返回一个校验结果给客户端应用,如果正确则会返回登录的用户名。客户端应用则会在本应用为该用户执行登录后处理,如加载用户信息和权限等放入到session中。至此登录完成。

4. 考虑用户访问到不同的服务器上。如用户第一次访问到必联网应用节点1,第二次访问都必联网节点2上,由于session信息是共享的,则两个节点是等效的。若用户第一次访问到cas节点1,第二次访问cas节点2,由于session和票据信息是共享集中存储的,用户访问到任意节点都是等效的,票据在任意节点都能够得到有效地认证。

结论:该情况的流程集群不存在问题。

 

 

1.3. 统一登出流程




 
 

假设用户A已经统一登录过CAS服务器节点1,必联网节点2和招标网节点1。用户这个时候想统一登出所有系统。要经过以下流程。

1. 用户A通过浏览器访问CAS服务器节点2的登出路径/logoutCAS服务器由于配置了集中存储session和票据,因此可以识别该用户的信息;首先销毁该用户对应的TGTCAS服务器的session信息。然后循环退出所有的已登录服务。

2. 退出用户A登录的必联网服务。假如CAS服务调用的是必联网节点1的登出地址,由于session共享,该节点能够正确地退出该用户,销毁该用户的session及其它登录信息。

3. 退出用户A登录的招标网服务。假如CAS服务调用的是招标网节点2的登出地址,由于session共享,该节点能够正确地退出该用户,销毁该用户的session及其它登录信息。

结论:该情况的流程集群不存在问题。

© 著作权归作者所有

共有 人打赏支持
杨武兵

杨武兵

粉丝 253
博文 61
码字总数 123254
作品 1
昌平
架构师
私信 提问
CAS server和CAS Client 各类文章总结

CAS ( Central Authentication Service ) 是 Yale 大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(属于 Web SSO )。CAS集群部署首先需要考虑的...

afreon
2016/11/24
22
0
Navigate 2017:新华三9款重量级产品曝光

在4月8日举行的新华三Navigate2017领航者峰会上,新华三集团高级副总裁、首席技术官尤学军为我们带来了新华三9款产品的重磅发布,这9款产品分别涉及云计算、大数据、网络、安全等几大核心领域...

玄学酱
04/13
0
0
开源 MIS 系统解决方案--jeeww

jeeww 是基于 spring+spring mvc+spring security+hibernate 为主的开源 MIS 系统解决方案,以 Maven 进行项目模块间的管理,便于扩展和管理,层次清晰,打造敏捷、清晰易用、松耦合、易扩展...

道在何方
2014/12/15
7.8K
1
jeeww 1.0 完整带数据库可运行版发布

项目数据库文件更新,目前只有mysql,在/jeeww-web/src/main/webapp/assets/jeewwdb 20150117 1323.sql 1) jeeww 是基于 spring+spring mvc+hibernate 为主的开源 MIS 系统解决方案,以 Mave...

道在何方
2015/01/17
4.6K
8
单点登录 CAS4.0 服务器端配置

CAS 介绍 CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点: 开源的企业级单点登...

deepler
2016/07/22
133
0

没有更多内容

加载失败,请刷新页面

加载更多

python中sort和sorted函数小结

L.sort(cmp=None, key=None, reverse=False) sorted(iterable, cmp=None, key=None, reverse=False) 这样看,sorted函数只比sort函数多一个iterable参数,其余没什么不同,iterable是一个迭代......

上官夏洛特
28分钟前
1
0
thinkphp 常用SQL执行语句总结

第一条:Db::tablera('vr_panomas')->where(['delete_time'=>0,'id'=>['in',$pids]])->field(['id'=>'id','post_thumb'=>'thumb','post_title'=>'title','post_tags'=>'tags','post_price'=>......

koothon
37分钟前
1
0
支付宝返回状态resultStatus意思

上一篇集成支付宝的时候,会有一些支付宝返回的resultStatus,具体意思是: 9000 订单支付成功 8000 正在处理中 4000 订单支付失败 6001 用户中途取消 6002 网络连接出错 还有memo,意思就是...

RainOrz
42分钟前
1
0
electron webview 页面加载事件顺序

1.did-start-loading 页面开始加载 2.load-commit 主页面文档加载 3.page-title-updated title 4.dom-ready 主页面 dom 加载完成 5.load-commit frame文档加载 6.did-frame-finish-load fram......

dubox
47分钟前
1
0
cron语法格式

Seconds Minutes Hours DayofMonth Month DayofWeek Year或 Seconds Minutes Hours DayofMonth Month DayofWeek...

JavaSon712
47分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部