[发明专利]一种基于JWT的单页Web应用集成CAS的方法

说明书

本发明提出一种基于JWT的单页Web应用集成CAS的方法，单页Web应用登录页面重定向到CAS系统的登录页面，URL包含Service参数标识当前需要登录的服务；用户在CAS登录页面输入认证信息登录成功后，CAS服务器端根据Service参数自动重定向到单页Web应用，重定向链接包含CAS生成的Ticket参数；单页Web应用以Service、Ticket为参数，请求API服务端获取JWT；API服务端以Service、Tikcet为参数，请求CAS服务端ProxyValidate接口进行校验，判断用户是否已经在CAS系统登录。本发明不需要在API服务端保存用户的登录状态，通过API服务请求CAS接口校验生成JWT实现认证，降低了系统的耦合度，解决了跨域问题，提高了用户体验，保证了用户敏感信息的安全性。

技术领域

本发明涉及CAS集成技术领域，具体为一种基于JWT的单页Web应用集成CAS的方法。

背景技术

企业的发展过程中，针对不同的业务开发出了多个应用系统，为了用户体验，增加用户粘合度，各个业务应用系统认证服务都集成在CAS系统，用户只需要通过CAS系统进行一次登录和身份认证，就可以访问多个系统，这大大提高了工作效率和安全性。随着前端技术的发展，很多应用系统都采用前后端分离的架构模式，客户端采用单页Web应用，服务端只需要提供API，客户端通过调用API实现数据交互，客户端部分页面和数据必须在用户通过认证之后才可以访问，同样的，服务端部分API也要求用户认证。

传统的CAS集成方式主要有以下几个步骤：

1） 用户访问应用系统资源，需要登录时重定向到CAS客户端，重定向链接包含Service（当前请求CAS系统的应用系统的URL）参数；

2）用户在CAS客户端进行身份认证；

3） 认证通过后，CAS服务端产生一个随机的 Ticket，CAS服务端以Ticket为参数重定向到步骤1）中的Service；

4） 应用系统以Ticket为参数，请求CAS服务端API，验证Ticket的合法性；

5） CAS服务端验证Ticket合法后，返回用户信息给应用系统，应用系统本地保存用户的登录状态，应用系统页实现了用户认证。

传统的CAS集成方式下，由于当前各个业务系统产品认证服务都已集成在CAS，而且每个业务产品都需要在本地保存用户的登录状态，这对于采用前后端分离的系统来说，单页Web应用和API服务端都必须保存用户的登录状态，这大大增加了系统的耦合度。由于单页Web应用和API服务端可能不在同一个域，在传统的CAS集成方式下还会导致跨域的问题。

发明内容

针对上述问题，本发明的目的在于提供一种能够降低系统的耦合度，解决跨域问题，提高用户体验，保证用户敏感信息的安全性的基于JWT的单页Web应用集成CAS的方法。技术方案如下：

步骤A：单页Web应用登录页面重定向到CAS系统的登录页面，URL包含Service参数标识当前需要登录的服务；

步骤B：用户在CAS登录页面输入认证信息登录成功后，CAS服务器端根据步骤A的Service参数自动重定向到单页Web应用，重定向链接包含CAS生成的Ticket参数；

步骤C：单页Web应用以Ticket、Service为参数，请求API服务端鉴权接口，获取JWT；

步骤D：API服务端接口收到请求后，以Ticket、Service为参数，调用CASProxyValidate校验接口；

步骤E：如果校验通过，CAS服务端返回用户信息，API服务端根据HS256算法、用户信息、过期时间生成JWT，返回给单页Web应用，单页Web应用在localStoage或Cookie保存JWT；校验不通过则返回Ticket无效；