文档章节

CAS集群解决方案

杨武兵
 杨武兵
发布于 2013/04/08 13:27
字数 1753
阅读 1452
收藏 26
点赞 1
评论 0

1. 总体方案

本方案的目的是搭建一个高可用,高可伸缩的中心认证服务。环境是CAS服务器是可任意扩展的,任意一个CAS服务节点均是等效的,CAS服务器的状态信息是集中存储的;CAS服务的客户端应用也是集群的环境,客户端应用服务器也是可任意扩展的,客户端应用的session状态信息是集中存储的,任意两个应用服务节点都是等效的;CAS服务器和客户端应用的状态信息集中存储在缓存服务器Memcached上。该方案具有以下特性。

只支持Tomcat6.xTomcat7.x

无单点故障。

能够应对Tomcat故障转移。

能够应对memcached故障转移。

 



 

 注意:上述方案中有一个问题是如果cas服务端应用程序或者客户端应用程序将某些状态数据直接存储在jvm本地对象中的时候,则节点会出现不等效的情况,甚至出现不稳定的故障。该问题的解决办法是:1.避免这样的情况。2.同步各jvm实例之间的所有对象。

1.1. 正常登录流程(未单点登录)讨论

 


 
 

讨论用户的浏览器里无TGT cookie值,即未曾登录过CAS服务器。

1. 用户浏览器访问必联网受保护的资源,假设用户未登录必联网应用,由于必联网各节点的session状态集中存储,则任意一个节点都是等效的。

2. 用户浏览器被转发请求到cas服务器。同时会带上参数service,即带上必联网的URL地址。

3. 用户访问cas服务的/login地址。用户的cookie中不存在TGT值。Cas服务器生成LT,并返回登录页面给用户浏览器。

4. 用户在登录页面上输入正确的用户名和密码,提交到cas服务器。

5. cas服务器接收到用户的凭证信息。经过验证后,若正确,则生成TGT,并存储在Ticket仓库中,由于带上了service参数值,同时cas会为该service生成ST值。然后返回到用户浏览器,将TGT值写入到用户浏览器的cookie中,同时将浏览器重定向都service参数值制定的url值,附带参数ticket=ST值。

6. 用户再次访问必联网受保护资源。带上参数值ticket=ST。必联网应用中的过滤器检测到带有该参数后,会将参数serviceticket的值发送请求给casURL地址/serviceValidate。该地址会校验ST。校验结束后会返回一个校验结果给客户端应用,如果正确则会返回登录的用户名。客户端应用则会在本应用为该用户执行登录后处理,如加载用户信息和权限等放入到session中。至此登录完成。

7. 考虑用户访问到不同的服务器上。如用户第一次访问到必联网应用节点1,第二次访问都必联网节点2上,由于session信息是共享的,则两个节点是等效的。若用户第一次访问到cas节点1,第二次访问cas节点2,由于session和票据信息是共享集中存储的,用户访问到任意节点都是等效的,票据在任意节点都能够得到有效地认证。

结论:该情况的流程集群不存在问题。

 

1.2. 已单点登录流程





 
  

当用户浏览器有合法的TGT,即用户浏览器已经登录过CAS服务器。在这种情况下,用户再访问必联网,用户未登录必联网应用。

1. 用户访问必联网受保护的资源,由于必联网各节点的session状态集中存储,则任意一个节点都是等效的。由于用户未登录必联网应用,则会拦截该请求,将其请求转发到CAS服务器,同时会带上参数service,即带上必联网的URL地址。

2. 用户访问cas服务的/login地址。由于已经登录过cas服务器,则用户的cookie中存在TGT值,在对该TGT值进行验证,若正确,由于带上了service参数值,同时cas会为该service生成ST值。然后返回到用户浏览器,同时将浏览器重定向都service参数值制定的url值,附带参数ticket=ST值。

3. 用户再次访问必联网受保护资源。带上参数值ticket=ST。必联网应用中的过滤器检测到带有该参数后,会将参数serviceticket的值发送请求给casURL地址/serviceValidate。该地址会校验ST。校验结束后会返回一个校验结果给客户端应用,如果正确则会返回登录的用户名。客户端应用则会在本应用为该用户执行登录后处理,如加载用户信息和权限等放入到session中。至此登录完成。

4. 考虑用户访问到不同的服务器上。如用户第一次访问到必联网应用节点1,第二次访问都必联网节点2上,由于session信息是共享的,则两个节点是等效的。若用户第一次访问到cas节点1,第二次访问cas节点2,由于session和票据信息是共享集中存储的,用户访问到任意节点都是等效的,票据在任意节点都能够得到有效地认证。

结论:该情况的流程集群不存在问题。

 

 

1.3. 统一登出流程




 
 

假设用户A已经统一登录过CAS服务器节点1,必联网节点2和招标网节点1。用户这个时候想统一登出所有系统。要经过以下流程。

1. 用户A通过浏览器访问CAS服务器节点2的登出路径/logoutCAS服务器由于配置了集中存储session和票据,因此可以识别该用户的信息;首先销毁该用户对应的TGTCAS服务器的session信息。然后循环退出所有的已登录服务。

2. 退出用户A登录的必联网服务。假如CAS服务调用的是必联网节点1的登出地址,由于session共享,该节点能够正确地退出该用户,销毁该用户的session及其它登录信息。

3. 退出用户A登录的招标网服务。假如CAS服务调用的是招标网节点2的登出地址,由于session共享,该节点能够正确地退出该用户,销毁该用户的session及其它登录信息。

结论:该情况的流程集群不存在问题。

© 著作权归作者所有

共有 人打赏支持
杨武兵

杨武兵

粉丝 234
博文 56
码字总数 123254
作品 1
昌平
架构师
CAS server和CAS Client 各类文章总结

CAS ( Central Authentication Service ) 是 Yale 大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(属于 Web SSO )。CAS集群部署首先需要考虑的...

afreon ⋅ 2016/11/24 ⋅ 0

Navigate 2017:新华三9款重量级产品曝光

在4月8日举行的新华三Navigate2017领航者峰会上,新华三集团高级副总裁、首席技术官尤学军为我们带来了新华三9款产品的重磅发布,这9款产品分别涉及云计算、大数据、网络、安全等几大核心领域...

玄学酱 ⋅ 04/13 ⋅ 0

关于cas的企业开发的过程

cas是什么?本文这里不做解释自己百度。 关于cas企业开发的第一步:你需要利用cas做什么工作? 1 利用cas 做一个单纯的服务端。客户端调用即可。这个在网上的教程很多,只要明白了基本的都可...

天使broken ⋅ 2015/07/24 ⋅ 0

开源 MIS 系统解决方案--jeeww

jeeww 是基于 spring+spring mvc+spring security+hibernate 为主的开源 MIS 系统解决方案,以 Maven 进行项目模块间的管理,便于扩展和管理,层次清晰,打造敏捷、清晰易用、松耦合、易扩展...

道在何方 ⋅ 2014/12/15 ⋅ 1

jeeww 1.0 完整带数据库可运行版发布

项目数据库文件更新,目前只有mysql,在/jeeww-web/src/main/webapp/assets/jeewwdb 20150117 1323.sql 1) jeeww 是基于 spring+spring mvc+hibernate 为主的开源 MIS 系统解决方案,以 Mave...

道在何方 ⋅ 2015/01/17 ⋅ 8

基于Redis的CAS集群

单点登录(SSO)是复杂应用系统的基本需求,Yale CAS是目前常用的开源解决方案。CAS认证中心,基于其特殊作用,自然会成为整个应用系统的核心,所有应用系统的认证工作,都将请求到CAS来完成...

無雙 ⋅ 2013/06/13 ⋅ 0

我对sso的使用和实现

我对sso的使用目前有三个阶段。 1.使用cas cas的好处自行搜索,缺点就是需要性能、维护、负载,如果cas宕机,从逻辑上来说就是所有的系统全部宕机了。 当然你可以维护集群,那就麻烦了。这个...

光石头 ⋅ 2014/02/14 ⋅ 6

单点登录 CAS4.0 服务器端配置

CAS 介绍 CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点: 开源的企业级单点登...

deepler ⋅ 2016/07/22 ⋅ 0

cas单点登录集群如何优雅的退出

实现cas ticket基于redis的集群 目的 克服cas单点故障,将cas认证请求分发到多台cas服务器上,降低负载。实现思路: 采用统一的ticket存取策略,所有ticket的操作都从中央缓存redis中存取。采...

Heinrich_Chen ⋅ 2016/07/20 ⋅ 0

长春兴隆综合保税区:打通跨境电商“云”上通途

2014年11月底,长春兴隆保税区顺利通过首批跨境电商货物,自此,吉林省跨境电商业务正式开展,并迅速发展至俄罗斯、韩国、德国等190多个国家和地区,吸引顺丰、阿里等14家电商及物流企业落户...

玄学酱 ⋅ 05/25 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

三步为你的App集成LivePhoto功能

摘要:LivePhoto是iOS9新推出的一种拍照方式,类似于拍摄Gif图或录制视频片段生成图片。如果没有画面感,可以联想《哈利波特》霍格沃茨城堡的壁画,哈哈,很炫酷有木有,但坑爹的是只有iphone6S以...

壹峰 ⋅ 16分钟前 ⋅ 0

centos7 git安装

由于centos中的源仓库中git不是最新版本,需要进行源码安装。 1、查看yum仓库git信息 [root@iZm5e3d4r5i5ml889vh6esZ zh]# yum info gitLoaded plugins: fastestmirrorLoading mirror s...

xixingzhe ⋅ 25分钟前 ⋅ 0

input file 重复上传同一张图片失效的解决办法

解决办法 方法一:来回切换input[type='file']的type属性值,可以是‘text’,'button','button'....,然后再切换回来‘file’ 方法二:每次取消图片预览后,重置input[type='file']的value的...

时刻在奔跑 ⋅ 26分钟前 ⋅ 0

Mahout推荐算法API详解

前言 用Mahout来构建推荐系统,是一件既简单又困难的事情。简单是因为Mahout完整地封装了“协同过滤”算法,并实现了并行化,提供非常简单的API接口;困难是因为我们不了解算法细节,很难去根...

xiaomin0322 ⋅ 31分钟前 ⋅ 0

WampServer默认web服务器根目录位置

安装WampServer之后的web服务器根目录默认位置在WampServer安装目录下的www:

临江仙卜算子 ⋅ 32分钟前 ⋅ 0

Redux的一些手法记录

Redux Redux的基本概念见另一篇文。 这里记录一下Redux在项目中的实际操作的手法。 actions 首先定义action.js,actions的type,可以另起一个action-type.js文件。 action-type.js用来存...

LinearLaw ⋅ 33分钟前 ⋅ 0

android 手势检测(左右滑动、上下滑动)

GestureDetector类可以让我们快速的处理手势事件,如点击,滑动等。 使用GestureDetector分三步: 1. 定义GestureDetector类 2. 初始化手势类,同时设置手势监听 3. 将touch事件交给gesture...

王先森oO ⋅ 47分钟前 ⋅ 0

java 方法的执行时间监控 设置超时(Future 接口)

java 方法的执行时间监控 设置超时(Future 接口) import java.util.concurrent.Callable; import java.util.concurrent.ExecutionException; import java.util.concurrent.Executor......

青峰Jun19er ⋅ 52分钟前 ⋅ 0

一名开源小白的Apache成长自述

今天收到了来自Apache Vote我成为Serviceomb项目Committer的邮件,代表自己的贡献得到了充分的肯定;除了感谢团队的给力支持,我更希望将自己的成长经历——如何践行Apache Way的心得介绍给大...

微服务框架 ⋅ 54分钟前 ⋅ 0

vim介绍、颜色显示和移动光标、一般模式下复制、剪切和粘贴

1.vim 是 vi 的升级版 vim 是带有颜色显示的 mini安装的系统,一般都不带有vim [root@aminglinux-128 ~]# yum install -y vim-enhanced已加载插件:fastestmirror, langpacksLoading mir...

oschina130111 ⋅ 55分钟前 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部