九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

1、基于Cookie的單點登錄的回顧

      

基于Cookie的單點登錄核心原理：

      將用戶名密碼加密之后存于Cookie中，之后訪問網(wǎng)站時在過濾器（filter）中校驗用戶權(quán)限，如果沒有權(quán)限則從Cookie中取出用戶名密碼進行登錄，讓用戶從某種意義上覺得只登錄了一次。

      該方式缺點就是多次傳送用戶名密碼，增加被盜風險，以及不能跨域。同時www.qiandu.com與mail.qiandu.com同時擁有登錄邏輯的代碼，如果涉及到修改操作，則需要修改兩處。

2、統(tǒng)一認證中心方案原理

      

      經(jīng)過分析，Cookie單點登錄認證太過于分散，每個網(wǎng)站都持有一份登陸認證代碼。于是我們將認證統(tǒng)一化，形成一個獨立的服務。當我們需要登錄操作時，則重定向到統(tǒng)一認證中心http://passport.com。于是乎整個流程就如上圖所示：
      第一步：用戶訪問www.qiandu.com。過濾器判斷用戶是否登錄，沒有登錄，則重定向（302）到網(wǎng)站http://passport.com。
      第二步：重定向到passport.com，輸入用戶名密碼。passport.com將用戶登錄的信息記錄到服務器的session中。
      第三步：passport.com給瀏覽器發(fā)送一個特殊的憑證，瀏覽器將憑證交給www.qiandu.com，www.qiandu.com則拿著瀏覽器交給他的憑證去passport.com驗證憑證是否有效，從而判斷用戶是否登錄成功。
      第四步：登錄成功，瀏覽器與網(wǎng)站之間進行正常的訪問。

3、Yelu大學研發(fā)的CAS(Central Authentication Server)

下面就以耶魯大學研發(fā)的CAS為分析依據(jù)，分析其工作原理。首先看一下最上層的項目部署圖：

部署項目時需要部署一個獨立的認證中心（cas.qiandu.com），以及其他N個用戶自己的web服務。

認證中心：也就是cas.qiandu.com，即cas-server。用來提供認證服務，由CAS框架提供，用戶只需要根據(jù)業(yè)務實現(xiàn)認證的邏輯即可。

用戶web項目：只需要在web.xml中配置幾個過濾器，用來保護資源，過濾器也是CAS框架提供了，即cas-client，基本不需要改動可以直接使用。

4、CAS的詳細登錄流程

上圖是3個登錄場景，分別為：第一次訪問www.qiandu.com、第二次訪問、以及登錄狀態(tài)下第一次訪問mail.qiandu.com。

下面就詳細說明上圖中每個數(shù)字標號做了什么，以及相關(guān)的請求內(nèi)容，響應內(nèi)容。

4.1、第一次訪問www.qiandu.com

標號1：用戶訪問http://www.qiandu.com，經(jīng)過他的第一個過濾器（cas提供，在web.xml中配置）AuthenticationFilter。

      過濾器全稱：org.jasig.cas.client.authentication.AuthenticationFilter

      主要作用：判斷是否登錄，如果沒有登錄則重定向到認證中心。

標號2：www.qiandu.com發(fā)現(xiàn)用戶沒有登錄，則返回瀏覽器重定向地址。

      首先可以看到我們請求www.qiandu.com，之后瀏覽器返回狀態(tài)碼302，然后讓瀏覽器重定向到cas.qiandu.com并且通過get的方式添加參數(shù)service，該參數(shù)目的是登錄成功之后會要重定向回來，因此需要該參數(shù)。并且你會發(fā)現(xiàn)，其實server的值就是編碼之后的我們請求www.qiandu.com的地址。

標號3：瀏覽器接收到重定向之后發(fā)起重定向，請求cas.qiandu.com。

標號4：認證中心cas.qiandu.com接收到登錄請求，返回登陸頁面。

      上圖就是標號3的請求，以及標號4的響應。請求的URL是標號2返回的URL。之后認證中心就展示登錄的頁面，等待用戶輸入用戶名密碼。

標號5：用戶在cas.qiandu.com的login頁面輸入用戶名密碼，提交。

標號6：服務器接收到用戶名密碼，則驗證是否有效，驗證邏輯可以使用cas-server提供現(xiàn)成的，也可以自己實現(xiàn)。

      上圖就是標號5的請求，以及標號6的響應了。當cas.qiandu.com即csa-server認證通過之后，會返回給瀏覽器302，重定向的地址就是Referer中的service參數(shù)對應的值。后邊并通過get的方式挾帶了一個ticket令牌，這個ticket就是ST（數(shù)字3處）。同時會在Cookie中設置一個CASTGC，該cookie是網(wǎng)站cas.qiandu.com的cookie，只有訪問這個網(wǎng)站才會攜帶這個cookie過去。

      Cookie中的CASTGC：向cookie中添加該值的目的是當下次訪問cas.qiandu.com時，瀏覽器將Cookie中的TGC攜帶到服務器，服務器根據(jù)這個TGC，查找與之對應的TGT。從而判斷用戶是否登錄過了，是否需要展示登錄頁面。TGT與TGC的關(guān)系就像SESSION與Cookie中SESSIONID的關(guān)系。

      TGT：Ticket Granted Ticket（俗稱大令牌，或者說票根，他可以簽發(fā)ST）

      TGC：Ticket Granted Cookie（cookie中的value），存在Cookie中，根據(jù)他可以找到TGT。

      ST：Service Ticket （小令牌），是TGT生成的，默認是用一次就生效了。也就是上面數(shù)字3處的ticket值。

標號7：瀏覽器從cas.qiandu.com哪里拿到ticket之后，就根據(jù)指示重定向到www.qiandu.com，請求的url就是上面返回的url。

標號8：www.qiandu.com在過濾器中會取到ticket的值，然后通過http方式調(diào)用cas.qiandu.com驗證該ticket是否是有效的。

標號9：cas.qiandu.com接收到ticket之后，驗證，驗證通過返回結(jié)果告訴www.qiandu.com該ticket有效。

標號10：www.qiandu.com接收到cas-server的返回，知道了用戶合法，展示相關(guān)資源到用戶瀏覽器上。

      至此，第一次訪問的整個流程結(jié)束，其中標號8與標號9的環(huán)節(jié)是通過代碼調(diào)用的，并不是瀏覽器發(fā)起，所以沒有截取到報文。

4.2、第二次訪問www.qiandu.com

上面以及訪問過一次了，當?shù)诙卧L問的時候發(fā)生了什么呢？

標號11：用戶發(fā)起請求，訪問www.qiandu.com。會經(jīng)過cas-client，也就是過濾器，因為第一次訪問成功之后www.qiandu.com中會在session中記錄用戶信息，因此這里直接就通過了，不用驗證了。

標號12：用戶通過權(quán)限驗證，瀏覽器返回正常資源。

4.3、訪問mail.qiandu.com

標號13：用戶在www.qiandu.com正常上網(wǎng)，突然想訪問mail.qiandu.com，于是發(fā)起訪問mail.qiandu.com的請求。

標號14：mail.qiandu.com接收到請求，發(fā)現(xiàn)第一次訪問，于是給他一個重定向的地址，讓他去找認證中心登錄。

      上圖可以看到，用戶請求mail.qiandu.com，然后返回給他一個網(wǎng)址，狀態(tài)302重定向，service參數(shù)就是回來的地址。

標號15：瀏覽器根據(jù)14返回的地址，發(fā)起重定向，因為之前訪問過一次了，因此這次會攜帶上次返回的Cookie：TGC到認證中心。

標號16：認證中心收到請求，發(fā)現(xiàn)TGC對應了一個TGT，于是用TGT簽發(fā)一個ST，并且返回給瀏覽器，讓他重定向到mail.qiandu.com

      可以發(fā)現(xiàn)請求的時候是攜帶Cookie：CASTGC的，響應的就是一個地址加上TGT簽發(fā)的ST也就是ticket。

標號17：瀏覽器根據(jù)16返回的網(wǎng)址發(fā)起重定向。

標號18：mail.qiandu.com獲取ticket去認證中心驗證是否有效。

標號19：認證成功，返回在mail.qiandu.com的session中設置登錄狀態(tài)，下次就直接登錄。

標號20：認證成功之后就反正用想要訪問的資源了。

5、總結(jié)

      至此，CAS登錄的整個過程就完畢了，以后有時間總結(jié)下如何使用CAS，并運用到項目中。