开发者社区> 问答> 正文

CAS单点登陆认证过程诸多疑问?:报错

一觉睡醒突然想起一年前用过的CAS单点登陆服务器,突然发现有一些东西想不明白了,在这里问问大家,有比较了解的谢谢赐教哈。http://www.coin163.com/java/cas/cas.html  这个地址是我看到一个讲解CAS认证的过程,那么问题来了:

1.在步骤3输入正确的用户名密码后,为什么还要单独生成一个service ticket(ST),然后定向给 cas client,然后cas client 再拿这个ST去向CAS server认证,认证成功后返回用户名。  我想说,在第三步输入正确的用户名密码后,那不就代表了登陆成功么? 在重定向到service (即cas client)的时候直接返回userName不就得了,干嘛还要返回ST,再用ST去验证一次,感觉有点多此一举,或者这里面有什么安全性的玄机是我没有参透的。

2.话说在第三步认证成功后CAS会生成一个TGC (当然也是一个cookie,这个cookie里面应该是放的一个票据吧),那么问题又来了,这个Cookie的域是哪一呢?  假如我现在登陆成功web1,然后我要登陆web2,这个时候web2的session中没有相关用户信息,被判断为未登陆,于是调用CAS接口去cas service那里认证,这个时候会用到TGC,如果web1登陆成功,这个时候就会携带TGC,然后认证成功,成功登陆web2.  我们都知道cookie是有域限制的,如果这个TGC的域是设置为的web1 或者 CAS sever,那么在访问web2的时候又如何能后携带这个TGC,然后发送给CAS server验证呢 ?

问题写完了,文字有点多,要耐心看哈。


展开
收起
kun坤 2020-06-06 14:34:32 564 0
1 条回答
写回答
取消 提交回答
  • 1.如果不这样的话,那直接在浏览器地址栏把 userName 传给 client 就好了,连密码都不用
    2.cookie 是属于CAS Server的,web1跟web2是没有任何关联的,web2没登录跳转到 cas server,cas server 通过 cookie 判断是否已登录,如果已登录就直接生成 st 后跳转到 web2,免去了输入密码的步骤######回复 @JeffreyLin : 是这样的。######st 是返回给浏览器,然后浏览器带着 st 去访问 client 的,不是直接由 server 给 client 的######第一个问题:和在不在浏览器地址输入用户名有什么关系? 我问的是,通过单点登陆页面登陆成功后为什么是返回st,而不是返回username, 你说的是如何提供用户名密码去cas server验证了。 第二个问题我想起来了,去cas server页面是通过浏览器重定向,所以TGC是应该属于cas server的。这个没问题######

    为什么是返回st,而不是返回username(这里是重定向cas server-->client)

    注意你虽然是通过密码登陆的cas server 但是server和client是分开的,如果我直接返回username,我可以在重定向过程中伪造,有点类似中间人攻击

    如果不拿ST再去server校验,无法判断这个usernmae是否是合法的

    ######正解。 昨天早上洗了个澡突然又想通了,哈哈。
    2020-06-06 14:34:36
    赞同 展开评论 打赏
问答地址:
问答排行榜
最热
最新

相关电子书

更多
微信客户端怎样应对弱网络 立即下载
代码未写,漏洞已出——谈谈设计不当导致的安全问题 立即下载
新形势下电子认证发展的几点思考 立即下载