本文详细讲述cas单点登录原理

一.角色介绍：

1. Cas 验证服务器
提供登录页面，负责完成对用户的认证工作
产生ticket，并根据ticket 返回给cas-client相应的用户信息
2. Cas-client
如果请求用户未登录并且请求中带有ticket,从cas验证服务器获得user信息，并完成登录过程。
3. 浏览器
这个就不说了吧

二. 登录流程图

三. 登录过程详解

Step1:浏览器访问应用A：http://app_A:8080/a.jsp
访问应用A时，
应用A的cas fiter执行以下动作：
1. 是否已经登录（判断session中有无标识位）：未登录
2. 请求参数中是否带有tikcet：没有
3. 把请求的url做的service参数，让浏览器重定向到cas验证服务器上的登录url
Http://cas-server:8080/login?servrice=http://app_A:8080/a.jsp
       Cas验证服务器收到请求执行以下动作：
1. 是否已经登录过（判断cookie中是否带有TGC）：没有TGC
2. 显示登录页面
        用户输入用户名和密码（username:eos），提交请求。
       Cas验证服务器收到请求执行以下动作：
1. 验证用户名密码是否合法：合法
2. 向cookie中写入TGC
3. 生成ticket:123456
4. 在service上加上ticket参数，让浏览器重定向：http://app_A:8080/a.jsp？ticket=123456
应用A的cas fiter执行以下动作：
1. 是否已经登录（判断session中有无标识位）：未登录
2. 请求参数中是否带有ticket:有
3. 向cas验证服务器验证ticket：验证通过，得到用户登录名：eos(如验证失败，重定向到让浏览器重定向到cas验证服务器上的登录url)
4. 执行initConext,在session中设置cas登录标志
5. 显示a.jsp中的内容

Cas验证服务器收到cas-client的ticket验证请求执行以下动作：
1. ticket是否超时：未超时（如超时返回验证失败）
2. ticket是否有效(是否未使用过)：有效，返回登录用户名(如已经验证过，返回返回验证失败)
至此，进行了一次登录，成功的访问了A应用中的页面。
Step2:浏览器访问应用B：http://app_B:8080/b.jsp
应用B的cas fiter执行以下动作：
1. 是否已经登录（判断session中有无标识位）：未登录
2. 请求参数中是否带有tikcet：没有
3. 把请求的url做的service参数，让浏览器重定向到cas验证服务器上的登录url
Http://cas-server:8080/login?servrice=http://app_B:8080/b.jsp
       Cas验证服务器收到请求执行以下动作：
1. 是否已经登录过（判断cookie中是否带有TGC）：有TGC
2. 生成ticket:654321
在service上加上ticket参数，让浏览器重定向：http://app_B:8080/b.jsp？ticket=654321

应用B的cas fiter执行以下动作：
1. 是否已经登录（判断session中有无标识位）：未登录
2. 请求参数中是否带有ticket:有
3. 向cas验证服务器验证ticket：验证通过，得到用户登录名：eos(如验证失败，重定向到让浏览器重定向到cas验证服务器上的登录url)
4. 执行initConext,在session中设置cas登录标志
5. 显示B.jsp中的内容
      因为访问应用A时已经登录过一次，所以，访问应用B时，用户不需要在输入用户和密码，通过cas的单点登录机制，实现了自动登录。

从登录过程中我们可以到，TCG是cas单点登录机制的核心。