CAS探索（一）：CAS协议实现SSO单点登录核心原理解析

一、SSO单点登录与CAS协议概述

SSO单点登录（Single Sign-On）是解决多系统间身份认证重复问题的关键技术，用户只需一次登录即可访问所有关联系统。CAS（Central Authentication Service）作为开源SSO协议，凭借其轻量级、可扩展和安全性强的特点，成为企业级应用的热门选择。其核心价值在于：

1. 集中认证：统一管理用户身份，避免多系统密码泄露风险。
2. 跨域支持：支持不同域名下的子系统无缝集成。
3. 协议标准化：基于HTTP/HTTPS协议，兼容性强。

二、CAS协议架构与核心组件

CAS协议采用B/S架构，包含以下核心组件：

1. CAS Server：认证中心，负责用户身份验证与票据生成。
2. CAS Client：部署在各子系统中，与Server交互完成认证。
3. 用户浏览器：作为中间代理，传递票据与认证信息。

关键设计原则：

• 无状态服务：Server不存储用户会话状态，依赖票据（Ticket）实现状态管理。
• 安全传输：所有通信通过HTTPS加密，防止票据截获。
• 票据分级：通过TGT（Ticket Granting Ticket）和ST（Service Ticket）实现分级授权。

三、CAS实现SSO的核心流程

1. 用户首次访问子系统

1. 未认证跳转：用户访问子系统（如app1.example.com），Client检测到未登录，重定向至CAS Server登录页（cas.example.com/login）。
2. 用户认证：在Server端输入用户名密码，验证通过后生成TGT（存储在Server会话中）并返回ST（一次性服务票据）。
3. 票据重定向：Server将用户重定向回子系统，URL中携带ST（如app1.example.com?ticket=ST-123）。
4. 子系统验证：Client通过后端请求验证ST有效性，Server返回用户信息（如用户名），子系统创建本地会话。

2. 用户访问其他子系统

1. 会话复用：访问app2.example.com时，Client检测到本地无会话，但浏览器中存在CAS Server的TGT Cookie（TGC）。
2. 静默认证：Client携带TGC请求Server，Server验证后直接颁发新ST，无需用户再次登录。
3. 无缝跳转：子系统验证ST后完成登录，实现真正的“单点登录”。

四、CAS票据机制详解

1. TGT（Ticket Granting Ticket）

• 作用：长期有效的认证凭证，代表用户与Server的信任关系。
• 生成方式：用户首次登录成功后，Server生成随机字符串作为TGT，存储在Server内存或数据库中。
• 传输安全：通过加密Cookie（TGC）返回给浏览器，仅限同域访问。

2. ST（Service Ticket）

• 作用：一次性凭证，用于子系统验证用户身份。
• 生成方式：用户访问子系统时，Server根据TGT生成ST，关联特定服务。
• 生命周期：验证后立即失效，防止重放攻击。

3. 票据验证流程

// 子系统验证ST的伪代码示例
public boolean validateTicket(String st) {
    String serverUrl = "https://cas.example.com/serviceValidate";
    String response = httpPost(serverUrl, "ticket=" + st + "&service=" + getCurrentServiceUrl());
    // 解析XML响应，检查是否包含有效用户信息
    return response.contains("<cas:authenticationSuccess>");
}

五、CAS安全策略与最佳实践

1. 传输安全

• 强制HTTPS：禁用HTTP，防止票据在传输中被截获。
• 票据加密：对TGT和ST进行加密存储，避免内存泄露。

2. 防重放攻击

• ST一次性使用：验证后立即销毁，子系统需缓存已用ST。
• 时间戳校验：在票据中嵌入生成时间，超时后拒绝验证。

3. 跨域问题处理

• CAS Server域名配置：确保TGC Cookie的domain属性覆盖所有子系统域名（如.example.com）。
• 子系统信任配置：在CAS Server中注册子系统的service URL，防止非法请求。

4. 性能优化

• Session缓存：使用Redis等分布式缓存存储TGT，支持集群部署。
• 异步验证：子系统通过异步请求验证ST，减少用户等待时间。

六、实际应用场景与扩展

1. 企业内网系统集成

• 场景：将OA、CRM、ERP等系统接入CAS，实现统一登录。
• 步骤：
  1. 部署CAS Server并配置LDAP/数据库用户源。
  2. 各子系统集成CAS Client（支持Java/PHP/Python等）。
  3. 测试跨域登录与单点退出功能。

2. 云原生环境适配

• 容器化部署：将CAS Server打包为Docker镜像，通过Kubernetes管理。
• 服务网格集成：使用Istio等工具实现服务间认证的透明化。

七、总结与展望

CAS协议通过TGT/ST票据机制与安全的重定向流程，高效实现了SSO单点登录。其核心优势在于协议简洁性与扩展性，支持自定义验证逻辑、多因素认证等高级功能。未来，随着零信任架构的普及，CAS可结合OAuth2.0、OIDC等协议，构建更灵活的身份认证体系。

实践建议：

1. 优先使用最新版CAS（如6.x），修复已知安全漏洞。
2. 定期审计票据日志，监控异常登录行为。
3. 结合企业AD/LDAP实现用户同步，减少管理成本。

通过深入理解CAS原理，开发者能够更高效地构建安全、可靠的企业级SSO系统。