一站式登录揭秘cas单点登录的原理与流程简介什么是单点登录单点登录 Single Sign On 简称sso 是一掘金

Emily Johnson

-Mar 14, 2026, 6:04 PM

一站式登录揭秘cas单点登录的原理与流程简介什么是单点登录单点登录 single sign on 简称sso 是一掘金

单点登录（Single Sign-On，简称SSO）是一种身份验证和授权的机制，允许用户使用一组凭据（如用户名和密码）在多个相关应用系统中进行身份验证，并在通过认证后无需重复输入凭据即可访问其他应用系统。 CAS（Central Authentication Service），它是由美国耶鲁大学开发的一种开放源代码的企业级单点登录（Single Sign-On，简称 SSO）解决方案。在 CAS 中，用户只需要在 CAS 服务器上进行一次登录，就可以访问所有连接到 CAS 服务器的应用，而无需再次进行身份验证。这就是所谓的单点登录。 TGT（Ticket-Granting Ticket）：TGT 是 CAS 中的一种票据，它是用户在登录成功后由 CAS 服务器颁发的，并用于后续的身份验证和授权。TGT 通常以加密形式存在于用户的浏览器 Cookie 中，具有一定的有效期。 TGC（Ticket-Granting Cookie）：TGC 是 CAS 服务器为用户生成的一个 Cookie。它存储着用户的 TGT，并且在用户访问其他应用系统时会被发送给 CAS 服务器以验证用户的身份。 TGC 是用户与 CAS 服务器之间交互的一种方式，用于传递 TGT 并维持用户的登录状态。在企业级应用或多系统架构中，“重复登录” 是用户体验的一大痛点 —— 例如，用户登录电商平台后，访问关联的会员中心、订单系统、支付系统时，还需再次输入账号密码，不仅繁琐，还增加了密码泄露风险。而单点登录（Single Sign-On，简称 SSO）作为解决这一问题的核心方案，能实现 “一次登录，多系统互通”，大幅提升用户体验与系统安全性。本文将从 SSO 的核心原理出发，拆解主流实现方案，结合实战案例演示落地过程，并分析安全风险与防护措施，帮你彻底掌握 SSO 的设计与应用。

在未引入 SSO 的多系统架构中，登录流程存在三大核心问题，这也是 SSO 诞生的初衷： SSO 的本质是 “在多个独立系统间，共享用户的认证状态”，核心价值体现在三点：要理解 SSO，需先明确其核心组件与通用流程 —— 无论采用哪种实现方案，SSO 的底层逻辑都围绕 “中央认证 + 跨系统会话共享” 展开。中央认证服务器，负责用户身份校验（账号密码验证、短信验证等）、生成认证凭证（如 Token）、管理全局会话 CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法。CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点： CAS Client 支持多种客户端（即单点登录系统中的各个 Web 应用），包括 Java、.Net、PHP、Perl、Apache、uPortal、Ruby 等。

从结构上看，CAS 包含两个部分：CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责用户认证；CAS Client 负责处理客户端受保护资源的访问请求。当需要登录时，会重定向到 CAS Server。验证票据：SSO 服务器验证 Service Ticket 的合法性，验证通过后允许客户端访问服务。上图展示了 3 个登录场景，分别为：第一次访问 www.qiandu.com、第二次访问、以及登录状态下第一次访问 mail.qiandu.com。相关的教程以及配套的讲解，分享给大家 → https://edu.51cto.com/lesson/557489.html CAS（Central Authentication Service）是耶鲁大学于2004年12月发起的一个开源项目，旨在为企业级系统提供单点登录（SSO）解决方案。CAS服务器作为认证服务器，独立部署后可与多种客户端（如Java、.NET、PHP、Ruby等）集成，实现用户在多个应用系统中的统一认证。 CAS的核心思想是将登录系统从应用服务器中分离，通过共享Session或Token实现用户在多个应用中的认证状态同步。开发者可以选择直接使用开源的CAS框架，或基于Redis等技术手写SSO框架。

访问服务用户通过浏览器访问某个应用系统（如购车模块）。如果用户未登录，应用系统会将请求重定向到CAS服务器。重定向到CAS服务器用户被重定向到CAS服务器的登录页面，输入用户名和密码进行认证。单点登录(SingleSignOn，SSO)，就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗，辅助了用户管理，是目前比较流行的。 SSO是目前比较流行的服务于企业业务整合的解决方案之一， SSO 使得在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 CAS 是 Yale 大学发起的一个企业级的、开源的项目，旨在为 Web 应用系统提供一种可靠的单点登录解决方法（SSO的一种框架） CAS Client：负责处理对客户端受保护资源的访问请求，需要对请求方进行身份认证时，重定向到 CAS Server 进行认证。

当用户首次访问新浪微博时，新浪微博识别到用户未登录，将请求重定向到认证中心，认证中心也识别到用户未登录，则将请求重定向到登录页。

People Also Search

单点登录（Single Sign-On，简称SSO）是一种身份验证和授权的机制，允许用户使用一组凭据（如用户名和密码）在多个相关应用系统中进行身份验证，并在通过认证后无需重复输入凭据即可访问其他应用系统。 CAS（Central Authentication Service），它是由美国耶鲁大学开发的一种开放源代码的企业级单点登录（Single Sign-On，简称 SSO）解决方案。在 CAS 中，用户只需要在

在未引入 SSO 的多系统架构中，登录流程存在三大核心问题，这也是 SSO 诞生的初衷： SSO 的本质是 “在多个独立系统间，共享用户的认证状态”，核心价值体现在三点：要理解 SSO，需先明确其核心组件与通用流程

从结构上看，CAS 包含两个部分：CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责用户认证；CAS Client 负责处理客户端受保护资源的访问请求。当需要登录时，会重定向到

访问服务用户通过浏览器访问某个应用系统（如购车模块）。如果用户未登录，应用系统会将请求重定向到CAS服务器。重定向到CAS服务器用户被重定向到CAS服务器的登录页面，输入用户名和密码进行认证。单点登录(SingleSignOn，SSO)，就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后，即可获得访问单点登录系统中其他关联系统和应用软件的权限，同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的，这意味着在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗，辅助了用户管理，是目前比较流行的。 SSO是目前比较流行的服务于企业业务整合的解决方案之一， SSO 使得在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

一站式登录 揭秘cas单点登录的原理与流程简介 什么是单点登录 单点登录 Single Sign On 简称sso 是一 掘金

People Also Search

在未引入 SSO 的多系统架构中，登录流程存在三大核心问题，这也是 SSO 诞生的初衷： SSO 的本质是 “在多个独立系统间，共享用户的认证状态”，核心价值体现在三点： 要理解 SSO，需先明确其核心组件与通用流程

从结构上看，CAS 包含两个部分：CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责用户认证；CAS Client 负责处理客户端受保护资源的访问请求。当需要登录时，会重定向到

当用户首次访问新浪微博时，新浪微博识别到用户未登录，将请求重定向到认证中心，认证中心也识别到用户未登录，则将请求重定向到登录页。

一站式登录揭秘cas单点登录的原理与流程简介什么是单点登录单点登录 Single Sign On 简称sso 是一掘金

在未引入 SSO 的多系统架构中，登录流程存在三大核心问题，这也是 SSO 诞生的初衷： SSO 的本质是 “在多个独立系统间，共享用户的认证状态”，核心价值体现在三点：要理解 SSO，需先明确其核心组件与通用流程