点击蓝字

!

关注我们

CAS安全性探究

CAS（Central Authentication Service）是 Yale 大学发起的一个企业级的、开源的项目，旨在为 Web 应用系统提供一种可靠的单点登录解决方案。

CAS的认证是依靠票据，包括TGT、TGC、ST；TGT：票根，存在于CAS server，TGC：票据授权票据，通过CAS server传给客户端，认证的时候回传给server做校验，ST作为客户端的身份校验票据，需要转发给应用做校验。

针对TGC的安全性

TGC在客户端和认证中心多次传输，通过HTTPS的方案提升传输安全性，防止TGC被中间人截获；通过设置TGC的有效时间，提升TGC的有效性。

针对ST的安全性

ST采用一次性的，防止重放攻击；可以设置有效期，一般半小时，通过有效时间提升ST的安全性；ST的值基于随机数产生，防止被猜出生成规则。

CAS的票据安全性是依赖HTTPS，HTTPS是如何做到加密传输的呢？

简单来说，如下：

1、基于非对称加密方案，公钥加密私钥解密；

2、客户端使用服务端的公钥加密对称密钥给服务端；

3、服务端使用私钥解密对称密钥；

4、服务端和客户端使用对称密钥通信；

上面讲到对称密钥和非对称密钥

对称密钥大家都了解，使用同一个密钥加密，同一个密钥解密。但是对称密钥有个问题，那就是密钥传输的问题，如何将对称密钥传输出去又不让其它人截获，传输是个问题。

非对称加密使用的是不同的密钥加密解密，简单说就是加密密钥不能解密。这样服务端可以将自己的加密密钥公布，所有人都可以用公钥加密，但是除了服务端没有人能解密。

如何能达到非对称的加解密方案，简单来说就是使用单向函数，即给出输入很容易算出输出，但是通过输出推导输入是非常困难（几乎不可能）的。

扫二维码｜关注我们

微信号｜申石软件

官网｜www.sensesw.com