原创作者: limogogogo
阅读:13185次
评论:2条
更新时间:2011-05-26
本方案是之前发的两帖的最终验证,有关此方案的前提请参阅
limogogogo.iteye.com/blog/90191
limogogogo.iteye.com/blog/91089
首先让我们从CAS 协议(非proxy模式)入手,CAS 实现SSO的过程如下:
1、终端客户请求访问应用系统。
2、CAS Client重定向到CAS Server请求验证。
3、如果用户未登陆SSO安全域,CAS Server进行身份验证。
4、身份验证通过后CAS Server生成Service Ticket并重定向用户到CAS Client(附加用户信息和ST)。
5、CAS Client 和 CAS Server 之间完成了对用户的身份核实。
6、最后将访问控制权交还给应用系统。
从上述过程可以看出,如果在步骤5、6之间插入额外处理即可完成用户信息同步。
CASFilter给了我启发,可以为应用系统编写额外的过滤器用来捕获特定的登陆请求,此时如果已通过CAS验证,则可获取统一认证用户信息,那么我就可以做任何想做的事情了。比如检查该用户在应用系统用户表中是否存在,如不存在则自动创建,然后构建提交登陆时的传入参数,重定向到提交登陆请求。OK,SSO了!没有对应用系统做过任何改动,仅增加了额外的处理逻辑(JAVA测试通过)。
发此帖的初衷是希望探讨出一种或几种模式,实现SSO的同时使应用系统的改造代价最小。尚不清楚上述思路是否能应用在其它开发语言编写的应用系统上。欢迎大家就此展开,讨论一下在asp、php、cgi、ruby……中的应用方案。
2 楼 haojiahero 2011-04-21 11:49
1 楼 altand 2011-04-02 13:12