单点登录_尚学堂cas讲义

《单点登录_尚学堂cas讲义》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、一.SSO(SingleSign-on)原理SSO分为Web-SSO和桌面SSO。桌面SSO体现在操作系统级别上。Web-SSO体现在客户端，主要特点是：SSO应用之间使用Web协议(如HTTPS)，并且只有一个登录入口。我们所讲的SSO，指WebSSO。SSO的体系中，有下面三种角色：²User（多个）²Web应用（多个）²SSO认证中心（一个）SSO实现模式千奇百怪，但万变不离其宗，包含以下三个原则：l所有的登录都在SSO认证中心进行。lSSO认证中心通过一些方法来告诉Web应用当前访问用户究竟是不是

2、通过认证的用户。lSSO认证中心和所有的Web应用建立一种信任关系。二.CAS的基本原理CAS(CentralAuthenticationService)是Yale大学发起的构建WebSSO的Java开源项目。1.CAS的结构体系uCASServerCASServer负责完成对用户信息的认证，需要单独部署，CASServer会处理用户名/密码等凭证(Credentials)。uCASClientCASClient部署在客户端，当有对本地Web应用受保护资源的访问请求，并且需要对请求方进行身份认证，重定向到

3、CASServer进行认证。2.CAS协议基础协议上图是一个基础的CAS协议，CASClient以过滤器的方式保护Web应用的受保护资源，过滤从客户端过来的每一个Web请求，同时，CASClient会分析HTTP请求中是否包请求ServiceTicket(上图中的Ticket)，如果没有，则说明该用户是没有经过认证的，CASClient会重定向用户请求到CASServer（Step2）。Step3是用户认证过程，如果用户提供了正确的认证信息，CASServer会产生一个随机的ServiceTicket，会

4、向User发送一个Ticketgrantingcookie(TGC)给User的浏览器，并且重定向用户到CASClient（附带刚才产生的ServiceTicket），Step5和Step6是CASClient和CASServer之间完成了一个对用户的身份核实，用Ticket查到Username，认证通过。1.CAS如何实现SSO当用户访问Helloservice2再次被重定向到CASServer的时候，CASServer会主动获到这个TGCcookie，然后做下面的事情：1)如果User的持有TGC且其

5、还没失效，那么就走基础协议图的Step4，达到了SSO的效果。2)如果TGC失效，那么用户还是要重新认证(走基础协议图的Step3)。二.实践配置下面我们以tomcat5.5为例进行说明(这里，我将Server和Client同时放在了同一个Tomcat服务器下)。软件环境：tomcat5.5ant-1.6.5,jdk1.5.0_06下载cas-server-3.0.4.zip和cas-client和cas-server-jdbc-3.0.5-rc2.jar和mysql5.0.16和tomcat5.5.15

6、http://www.ja-sig.org/downloads/cas/cas-server-3.0.4.ziphttp://www.yale.edu/tp/cas/cas-client-2.0.11.ziphttp://developer.ja-sig.org/maven/cas/jars/cas-server-jdbc-3.0.5-rc2.jarhttp://www.mysql.comhttp://tomcat.apache.org/(一)将一个或者一些页面进行支持HTTPS传输协议（意义：对某些页面

7、进行了安全传输）（重点掌握）1.产生SERVER的证书库文件keytool-genkey-aliastomcat-keyalgRSA[-keystorekeystore-file]并将证书文件放在web容器的目录下。2.(在server端)配置tomcat使用HTTPS$CATALINA_HOME/conf/server.xml里

8、keystore"maxThreads="150"minSpareThreads="25"maxSpareThreads="75"enableLookups="false"disableUploadTimeout="true"acceptCount="100"scheme="https"secure="true"clientAuth="false"sslProtocol="TLS"/>注意：keystorePass="chan