前言

單點(diǎn)登錄（Single Sign On，SSO）是指在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問(wèn)所有相互信任的應(yīng)用系統(tǒng)。
有多種開(kāi)源的單點(diǎn)登錄方案，其中，CAS（Central Authentication Service）是Yale University開(kāi)發(fā)的、應(yīng)用比較廣泛的一種實(shí)現(xiàn)。

CAS概述

CAS 全稱集中式認(rèn)證服務(wù)(Central Authentication Service)，是實(shí)現(xiàn)單點(diǎn)登錄(SSO)的一種手段。

對(duì)于本文用戶可感知的層面，認(rèn)證過(guò)程如下：

• 前端訪問(wèn)后端登錄接口
• 后端返回重定向到 CAS 服務(wù)器的登錄頁(yè)面，并攜帶當(dāng)前用戶訪問(wèn)的網(wǎng)頁(yè)鏈接
• 用戶登錄，瀏覽器發(fā)送請(qǐng)求到 CAS 服務(wù)器進(jìn)行認(rèn)證
• CAS 認(rèn)證通過(guò)，將本次登錄保存到會(huì)話，返回回調(diào)地址給后端
• 后端返回重定向請(qǐng)求給前端
• 前端重定向到跳轉(zhuǎn)登錄前的頁(yè)面
• 中間涉及到的 TGT 處理邏輯已經(jīng)由開(kāi)源 CAS Client(python-cas) 實(shí)現(xiàn)。
• 要注意，CAS 服務(wù)器本身有一些過(guò)濾條件，例如域名白名單等，因此接入的時(shí)候需要將新系統(tǒng)的域名或 IP 加入 CAS 服務(wù)端配置中。

接入 CAS

因?yàn)槭堑谝淮谓佑| CAS ，為了方便調(diào)試，我在本地直接啟動(dòng)一個(gè) CAS 服務(wù)端用于調(diào)試。

CAS 客戶端也就是集成于我們實(shí)際開(kāi)發(fā)的Django代碼中。

CAS 服務(wù)端配置

GitHub 中有很多 CAS 項(xiàng)目，我選了一個(gè)基于 Django 的 django-mama-cas 應(yīng)用。

創(chuàng)建 django-cas-server 項(xiàng)目：

django-admin startproject django-cas-server

安裝 django-mama-cas 依賴：

pip install django-mama-cas

在 INSTALLED_APPS 中添加 'mama_cas' 應(yīng)用：

settings.py

settings.py
INSTALLED_APPS = [
 ...
 'mama_cas',
]

添加 mama_cas 應(yīng)用中的路由：

urls.py

urlpatterns += [url(r'', include('mama_cas.urls'))]

配置 CAS 信息：

MAMA_CAS_SERVICES = [
 {
  # 必填項(xiàng)，此項(xiàng)為**Client** IP:Port，相當(dāng)于白名單
  'SERVICE': 'http://127.0.0.1:8000',
  # 回調(diào)模式，具體參考官方文檔
  'CALLBACKS': [
   'mama_cas.callbacks.user_model_attributes',
  ],
 },
]

使用

python manage.py runserver 0.0.0.0:9000

服務(wù)啟動(dòng)后，可以訪問(wèn) http://0.0.0.0:9000/login 到達(dá) CAS 登錄頁(yè)面。

django-mama-cas 默認(rèn)使用的是 django.auth 模塊 User ，使用 django-admin 創(chuàng)建超級(jí)用戶，該用戶也就可以用于登錄 CAS ：

CAS 客戶端

Python 有開(kāi)源的 CAS 客戶端 python-cas ，由于我使用的 Django 開(kāi)發(fā)后端，因此直接選用封裝好 python-cas 的 Django 應(yīng)用 django-cas-ng 。

先安裝依賴：

pip install django-cas-ng

在 settings.py 中的 INSTALLED_APPS 和 AUTHENTICATION_BACKENDS 兩處添加 django-cas-ng 的配置：

settings.py

INSTALLED_APPS = (
 # ... other installed apps
 'django_cas_ng',
)
 
AUTHENTICATION_BACKENDS = (
 'django.contrib.auth.backends.ModelBackend',
 'django_cas_ng.backends.CASBackend',
)

同時(shí)參考準(zhǔn)備接入的 CAS 地址和版本，添加幾個(gè)對(duì)應(yīng)的配置：

# CAS 的地址
CAS_SERVER_URL = 'http://127.0.0.1:30000'
# CAS 版本
CAS_VERSION = '3'
# 存入所有 CAS 服務(wù)端返回的 User 數(shù)據(jù)。
CAS_APPLY_ATTRIBUTES_TO_USER = True

添加登入登出的路由（這兩部分邏輯已由 django-cas-ng 完成，可以直接使用。如果需要擴(kuò)展，可以參照源碼自己實(shí)現(xiàn)即可）：

urls.py

import django_cas_ng.views as cas_views
urlpatterns = [
 ...
 path('login/', django_cas_ng.views.LoginView.as_view(), name='cas_ng_login'),
 path('logout/', django_cas_ng.views.LogoutView.as_view(), name='cas_ng_logout'),
]

調(diào)試

啟動(dòng)當(dāng)前服務(wù)：

python manage.py runserver

訪問(wèn) http://127.0.0.1:8000/login ，網(wǎng)頁(yè)將會(huì)跳轉(zhuǎn)到 http://127.0.0.1:30000/login?service=http://127.0.0.1:8000 CAS 登錄頁(yè)面（注意端口不同），登錄成功后將會(huì)跳轉(zhuǎn)回來(lái)。

總結(jié)

CAS 本身邏輯需要理解，但是畢竟是成熟的單點(diǎn)登錄架構(gòu)，一般都存在開(kāi)源的客戶端實(shí)現(xiàn)，代碼量不多，多調(diào)試多參考文檔配置即可。

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評(píng)論