CAS(Central Authentication Service)是典型的基于票据(Ticket)的中心化SSO协议,由耶鲁大学开源,至今仍是企业级统一身份认证的主流选择。亿登科技在为某省级政务云平台实施身份中台时,就曾深度定制CAS 6.6服务端,支撑37个业务系统无缝接入。而Token(尤其是JWT)则是无状态、分布式架构下的轻量级凭证载体,常见于微服务API鉴权场景。二者不是简单替代关系,而是解决不同层级问题的工具——CAS管‘登录入口’,Token管‘服务间信任’。某金融客户误将CAS票据直接用作API调用凭证,导致OAuth2.0资源服务器频繁校验失败,最终由亿登科技团队重构为CAS→OAuth2.0授权码流程,实现登录态与访问令牌解耦。
CAS采用三步重定向流程:用户访问应用→跳转CAS登录页→携带ST(Service Ticket)回调应用→应用向CAS验证ST有效性→获取用户属性。整个过程依赖CAS服务端状态维护,所有票据均需实时校验。而Token方案(如JWT)则在用户首次认证后签发自包含凭证,后续请求仅需验证签名与有效期,无需回源查询。亿登科技在某制造集团项目中实测:同等并发下,CAS票据验证QPS峰值达1200,而JWT验签可达15000+。但JWT的吊销难题也暴露无遗——该集团曾因员工离职未及时黑名单JWT,导致3天内出现越权访问。亿登科技为此引入Redis缓存JWT黑名单,并在亿登科技SSO解决方案中提供动态密钥轮换机制。
CAS的ST是一次性票据,且绑定客户端IP与User-Agent,天然防御重放攻击;但其HTTP重定向链路易受中间人劫持,必须强制HTTPS。亿登科技所有CAS部署默认启用TLS 1.3,并关闭ST缓存。Token则面临更复杂的威胁模型:JWT若使用HS256且密钥泄露,攻击者可伪造任意用户令牌;若采用RS256,私钥管理又成新瓶颈。我们在某医疗云项目中发现,开发团队将JWT密钥硬编码在前端代码中,导致患者数据批量泄露。亿登科技随后推行密钥分离策略——签名密钥由HSM硬件模块托管,验证密钥通过KMS动态分发。值得注意的是,CAS本身不定义用户属性传输格式,而OIDC标准JWT则强制包含sub、iss等声明字段,这对审计合规至关重要。我们推荐关键系统优先采用OIDC增强型认证,已在12家三甲医院落地验证。
纯CAS或纯Token都难以覆盖全场景。亿登科技在某央企数字化平台中构建了CAS+OAuth2.0混合架构:前端Web应用走CAS SSO,移动端App与微服务API则通过CAS触发OAuth2.0授权码流程获取Access Token。这样既保留CAS的强会话管理能力,又满足API网关的无状态鉴权需求。具体实现上,我们改造CAS Server,在/cas/oauth2.0/authorize端点注入OAuth2.0逻辑,用户登录后自动跳转至OAuth授权页。该方案使单点登录成功率从92%提升至99.8%,API平均响应延迟降低47ms。对于需要双因素认证的高敏操作,亿登科技在CAS登录环节集成了TOTP动态口令,并关联亿登多因素认证模块,支持短信、邮件、生物特征等多种验证方式。实际运行数据显示,启用MFA后账户盗用率下降91%。
判断标准并非技术优劣,而是业务约束。若系统均为Java Web且需强会话控制(如银行柜台系统),CAS仍是首选;若架构已微服务化且API调用频次高(如IoT设备管理平台),JWT更适配。亿登科技提供开箱即用的Spring Boot OAuth2 SSO示例工程,含CAS/OIDC双模式切换配置。特别提醒:避免将CAS ST直接Base64编码当Token使用——某客户因此暴露用户敏感字段。我们建议所有Token必须经JWT标准封装,并启用JWE加密敏感声明。最后强调,无论选择哪种方案,统一身份治理才是核心。亿登科技身份中台已支持CAS、SAML、OIDC、LDAP等17种协议接入,详情可参考亿登科技统一身份认证方案。