SSO——CAS应用实例分析

http://jiyuwoaa.blog.163.com/blog/static/164927966201131632832660/

首先让我们从CAS 协议（非proxy模式）入手，CAS 实现SSO的过程如下：
1、终端客户请求访问应用系统。
2、CAS Client重定向到CAS Server请求验证。
3、如果用户未登陆SSO安全域，CAS Server进行身份验证。
4、身份验证通过后CAS Server生成Service Ticket并重定向用户到CAS Client（附加用户信息和ST）。
5、CAS Client 和 CAS Server 之间完成了对用户的身份核实。
6、最后将访问控制权交还给应用系统。
从上述过程可以看出，如果在步骤5、6之间插入额外处理即可完成用户信息同步。
CASFilter给了我启发，可以为应用系统编写额外的过滤器用来捕获特定的登陆请求，此时如果已通过CAS验证，则可获取统一认证用户信息，那么我就可以做任何想做的事情了。比如检查该用户在应用系统用户表中是否存在，如不存在则自动创建，然后构建提交登陆时的传入参数，重定向到提交登陆请求。OK，SSO了！没有对应用系统做过任何改动，仅增加了额外的处理逻辑（JAVA测试通过）。

发此帖的初衷是希望探讨出一种或几种模式，实现SSO的同时使应用系统的改造代价最小。尚不清楚上述思路是否能应用在其它开发语言编写的应用系统上。欢迎大家就此展开，讨论一下在asp、php、cgi、ruby……中的应用方案。