JA-SIG CAS中央认证服务(Central Authentication Service)
开源的企业级单点登录解决方案
用户错误登录限制简而言之就是限制单个用户单位时间内登录系统的错误次数。当用户在单位时间内登录系统的次数达到上限,就对这个 用户采取相应的措施。
cas登录之后,产生tgt,当tgt过期之后,cas会自动消毁服务器端的tgt存根。如果开启自动登出(cas默认是开启的),则cas会向应用端发送自动登出请求,应用接到这个请求,会消毁相应的session,这样就完成了自动登出。
cas支持单点登出了,那么它的基本机制是什么呢?
cas提供了可插拔式的ticket过期策略框架用于tgt和st。
当ticket存储器,没有能力管理ticket的状态时,则需要ticket清理器。默认的内存ticket存储器,jpa存储器等都需要ticket清理器;memecached ,ehcache等存储器则不需要ticket清理器。
当用户认证成功之后,默认cas服务器只返回用户名给客户端。那么客户端能否从cas服务器获取更多的信息吗?答案是肯定的。
在很多情况下,需要从多个数据源中获取用户信息,然后合并相关的信息返回给客户端。
想想一种情况,当你搭建好了一台cas服务器,大家知道了cas的访问地址,那么你能否有能力控制住哪些应用才能够经过你搭建的cas服务器 进行认证吗?
cas的集群主要分为两部分,一是session的集群,二是登录之后产生的ticket的集群。
这个方案相对比较简单容易测试,但是性能不太好,在生产应用当tomcat服务器数量不是很多的进候可以一试,如果多了就改为memcached-session-manager方式吧。