集成框架中使用CAS实现单点登录技术方案

集成框架中使用CAS实现单点登录

技术方案

1、文档摘要 (3)

1.1文档分类 (3)

1.2关键字 (3)

1.3使用SSO的最终目的 (3)

1.4摘要 (3)

1.5 参考 (3)

1.5修改历史 (4)

2、技术方案 (5)

2.1问题或场景 (5)

2.2 web SSO的原理 (5)

2.3 CAS的基本原理 (6)

2.4 CAS协议 (7)

2.5 配置一个基本的CAS (8)

2.5.1准备工作 (8)

2.5.2配置CAS服务器 (8)

2.5.3配置jboss服务器使用https协议 (9)

2.5.4配置cas客户端 (10)

2.5.5测试SSO (13)

2.6 扩展认证接口及与数据库结合验证 (13)

2.6.1如何做扩展部署 (14)

2.6.2如何获取登录的用户名 (20)

3、问题或不足 (21)

4、改进意见 (21)

5、附件 (21)

1、文档摘要

1.1文档分类

技术方案---关于单点登录

1.2关键字

SSO、Yale CAS

1.3使用SSO的最终目的

1、实现一个易用的、能跨不同Web应用的单点登录认证中心；

2、实现统一的用户身份和密钥管理，减少多套密码系统造成的

管理成本和安全漏洞；

3、降低认证模块在IT系统设计中的耦合度，提供更好的SOA

设计和更弹性的安全策略

1.4摘要

本文描述如何实现多应用系统下的单点登录具体实现方案

1.5 参考

Yale CAS网站(https://www.sodocs.net/doc/ee9928740.html,/tp/cas/)及网络相关技术文档

1.5修改历史

2、技术方案

2.1问题或场景

假设目前有多个WEB应用系统，采用不同的语言开发，部署在不同的服务器上；每个系统分别管理着自己的用户。那么，客户在使用不同系统时就必须在不同的系统之间切换，反复的输入不同的用户名和密码。在系统集成时如何使用户只需要认证一次就能登入各个不同的系统？那么就必须采用用户身份集中管理、统一认证，这就涉及到单点登录(single sign-on SSO)的问题了。

2.2 web SSO的原理

Web SSO主要特点是，SSO 应用之间走Web 协议( 如HTTP /SSL) ，并且SSO 都只有一个登录入口。j

简单的SSO 的体系中，会有下面三种角色：

1 User （多个）

2 Web 应用（多个）

3 SSO 认证中心（1 个）

虽然SSO 实现模式千奇百怪，但万变不离其宗：

1、Web 应用不处理User 的登录，否则就是多点登陆了，所有的登录都在SSO 认证中心进行。

2、SSO 认证中心通过一些方法来告诉Web 应用当前访问用

户究竟是不是张三/ 李四。

3、SSO 认证中心和所有的Web 应用建立一种信任关系，S SO 认证中心对用户身份正确性的判断会通过某种方法告之Web 应用，而且判断结果必须被Web 应用信任。

2.3 CAS的基本原理

从结构体系看，CAS 包含两部分：

●CAS Server

CAS Server 负责完成对用户的认证工作，CAS Server 需要独立部署，有不止一种CAS Server 的实现，Yale CAS Server 和ESUP CAS Server 都是很不错的选择。

CAS Server 会处理用户名/ 密码等凭证(Credentials) ，它可能会到数据库检索一条用户帐号信息，也可能在XML 文件中检索用户密码，对这种方式，CAS 均提供一种灵活但同一的接口/ 实现分离的方式，CAS 究竟是用何种认证方式，跟CAS 协议是分离的，也就是，这个认证的实现细节可以自己定制和扩展。

●CAS Client

CAS Client 负责部署在客户端（注意，我是指Web 应用），原则上，CAS Client 的部署意味着，当有对本地Web 应用的受保护资源的访问请求，并且需要对请求方进行身份认证，Web 应用不再接受任何的用户名密码等类似的Credentials ，而是重定向到CAS Server 进行认证。

目前，CAS Client 支持（某些在完善中）非常多的客户端，包括Java 、.Net 、ISAPI 、Php 、Perl 、uPortal 、Acegi 、Ruby 、VBScript 等客户端，几乎可以这样说，CAS 协议能够适合任何语言编写的客户端应用。

2.4 CAS协议

CAS Client 与受保护的客户端应用部署在一起，以Filter 方式保护受保护的资源。对于访问受保护资源的每个Web 请求，CAS Client 会分析该请求的Http 请求中是否包含Service Ticket，如果没有，则说明当前用户尚未登录，于是将请求重定向到指定好的CAS Server 登录地址，并传递Service （也就是要访问的目的资源地址），以便登录成功过后转回该地址。用户在第3 步中输入认证信息，如果登录成功，CAS Server 随机产生一个相当长度、唯一、不可伪造的Service Ticket，并缓存以待将来验证，之后系统自动重

定向到Service 所在地址，并为客户端浏览器设置一个Ticket Granted Cookie（TGC），CAS Client 在拿到Service 和新产生的Ticket 过后，在第5，6 步中与CAS Server 进行身份合适，以确保Service Ticket 的合法性。

在该协议中，所有与CAS 的交互均采用SSL 协议，确保，ST 和TGC 的安全性。协议工作过程中会有2 次重定向的过程，但是CAS Client 与CAS Server 之间进行Ticket 验证的过程对于用户是透明的。

另外，CAS 协议中还提供了Proxy （代理）模式，以适应更加高级、复杂的应用场景

2.5 配置一个基本的CAS

2.5.1准备工作

下载测试用的web应用服务器apache-tomcat-6.0.16，jboss-4.2.2.GA；

下载cas-server-3.2.1-release、cas-client-2.0.11.zip；

本文通过以上版本举例说明。

2.5.2配置CAS服务器

假设将CAS server端部署在jboss下，其他几个客户端应用系统分别在tomcat或者jboss下。

由于CAS使用Https协议，所以首先要知道如何在jboss容器

中配置SSL.; CAS的客户端以一个Web应用的Filter运行。当Web应用的某个功能被请求时，Filter就会拦截应用的URL，从而迫使用户到CAS服务器进行登陆。在所有不同的Web应用中，使用同一个CAS 服务器进行登陆，即可达到单点登陆之目的。

将cas-server-3.2.1-release.zip解压，找到cas-server-3.2.1-release/cas -server-3.2.1/modules/cas-server-webapp-3.2.1.war，继续解压它。加解压后的文件夹cas-server-webapp-3.2.1改名为cas.war(为了发布到jboss下方便，tomcat下直接用这个war压缩包就行了)，启动jboss服务，测试CAS服务器是否发布正常，可以访问http://localhost:8080/cas/logi n出现登陆窗口。输入用户名密码（用户名＝密码），出现登陆成功页面说明发布正常。

2.5.3配置jboss服务器使用https协议

1、使用Java自带的keytool命令，产生SERVER的证书

D:"> keytool -genkey -alias my-alias-name -keyalg RSA -keystore keystore-file

其中my-alias-name 为别名，这行命令的作用是产生一个新的公共/ 私有钥匙对。keystore-file 为存储钥匙和证书的文件。

命令运行后，根据提示回答。注意在开始问“你的名字”或“DName”的时候，必须填写你服务器所在域名（在局域网中测试时，使用主机名或hosts文件中注册的域名,本机可以使用localhost）。

2、到jboss-4.2.2.GA\server\default\deploy\jboss-web.deployer\

这个目录下去找server.xml文件打开，相应位置更改如下：

其中，keystoreFile使用绝对路径或相对路径（如${jboss.server.home.dir}/…/...），keystorePass为第3点输入的keystore 密码。

3、配置完成后，启动就jboss访问https://localhost:8443 ，访问成功说明SSL配置成功。也可以访问https://localhost:8443/cas/login

2.5.4配置cas客户端

以Tomcat中自带的examples应用为例，在Web应用中使用配置CAS客户端。

1、在examples应用里配置CAS客户端，需修改examples/WEB-INF/web.xml，在web.xml文件中,加入如下Filter配置

其中，第一，二个localhost都改成CAS服务器域名或主机名，第三个改成你servelt example应用域名或主机名，由于本文中CAS服务器与客户端在同一主机同一Tomcat上，所以都为localhost。若不在同一主机，则分别使用两主机的域名或主机名。详细说明如下：表格 1. CASFilter 必需的参数

参数名作用

edu.yale.its.tp.cas.client.filter.loginUrl 指定CAS 提供登录页面的URL

edu.yale.its.tp.cas.client.filter.validateUrl 指定CAS 提供service ticket 或proxy ticket 验

证服务的URL

edu.yale.its.tp.cas.client.filter.serverName 指定客户端的域名和端口，是指客户端应用所在机器而

不是CAS Server 所在机器，该参数或serviceUrl 至

少有一个必须指定

edu.yale.its.tp.cas.client.filter.serviceUrl 该参数指定过后将覆盖serverName 参数，成为登录

成功过后重定向的目的地址

表格 2. CASFilter 可选参数

参数名作用

edu.yale.its.tp.cas.client.filter.proxyCallbackUrl 用于当前应用需要作为其他服务的代理(proxy)时

获取Proxy Granting Ticket 的地址

edu.yale.its.tp.cas.client.filter.authorizedProxy 用于允许当前应用从代理处获取proxy tickets，

该参数接受以空格分隔开的多个proxy URLs，但

实际使用只需要一个成功即可。当指定该参数过

后，需要修改validateUrl 到proxyValidate，

而不再是serviceValidate

edu.yale.its.tp.cas.client.filter.renew 如果指定为true，那么受保护的资源每次被访问

时均要求用户重新进行验证，而不管之前是否已经

通过

edu.yale.its.tp.cas.client.filter.wrapRequest 如果指定为true，那么CASFilter 将重新包装

HttpRequest,并且使getRemoteUser() 方法

返回当前登录用户的用户名

edu.yale.its.tp.cas.client.filter.gateway 指定gateway 属性

2、将cas-client-2.0.11.zip解压，把java/lib/casclient.jar拷贝到Tomcat的webapps/ examples/WEB-INF/lib目录下（如果没有就建一个）

3、执行命令行，导出SERVER的证书，用来给所有需要用到的客户端导入

D:"> keytool -export -file myserver.cert -alias my-alias-name -ke ystore keystore-file

4、执行命令行，在客户端的JVM里导入信任的SERVER的证书，（假设你的另外一个应用系统也是用的java，这一步是必须的，否则不能建立两者之间的信任关系。如果不执行下面的命令行，比如在.net环境下可以考虑将生成的myserver.cert作为IE的证书倒入浏览器看看，需要再试一下）

D:"> keytool -import -keystore $JAVA_HOME/jre/lib/security/ cacerts -file myserver.cert -alias my-alias-name

其中，$JAVA_HOME改成JDK的绝对路径。路径当中如果有空格用双引号括起来。

输入keystore密码时，注意现在的keystore为cacerts，而cacer ts的初密码为changeit，而不是前面keystore-file的密码，所以要是没有改过cacerts密码应该输入changeit.

2.5.5测试SSO

启动Tomcat和jboss，访问http://localhost:8080/servlets-examp les/ ，随便执行一个servlet，系统会自动跳转到一个验证页面，随便输入一个相同的账号,密码，认证通过之后，就会访问到你点击的ser vlet了。

2.6 扩展认证接口及与数据库结合验证

CAS Server 负责完成对用户的认证工作，它会处理登录时的用户凭证(Credentials) 信息，用户名/密码对是最常见的凭证信息。C AS Server 可能需要到数据库检索一条用户帐号信息，也可能在XM L 文件中检索用户名/密码，还可能通过LDAP Server 获取等，在这种情况下，CAS 提供了一种灵活但统一的接口和实现分离的方式，实际使用中CAS 采用哪种方式认证是与CAS 的基本协议分离开的，用户可以根据认证的接口去定制和扩展。

2.6.1如何做扩展部署

扩展AuthenticationHandler

CAS 提供扩展认证的核心是AuthenticationHandler 接口，具体可查阅源码，看下面一段demo代码，扩展认证方法

完了记得在deployerConfigContext.xml中把这个bean注册一下，

如下：

在这个list中可以配置多个AuthenticationHandlers。这些Authe nticationHandlers形成了一个验证器链，所有提交给CAS的Credential

s信息将通过这个验证器链的链式过滤，只要这链中有一个验证器通过了对Credentials的验证，就认为这个Credentials是合法的。这样的设计使得我们可以很轻松的整合不同验证体系的已有应用到同一个CAS上，比如：A验证器负责校验alpha系统提交的Credentials，它是基于LDAP服务器的；B验证器负责校验beta系统提交的Credentials，它是一个传统的RDB用户表认证；C验证器负责校验gamma系统提交的基于RSA证书加密的Credentials。3种完全不同的用户身份认证通过配置就可以统一在同一个CAS服务内

JDBC 认证方法

用户的认证信息通常保存在数据库中，因此本文就选用这种情况来介绍。将前面下载的cas-server-3.1.1-release.zip 包解开后，在m odules 目录下可以找到包cas-server-support-jdbc-3.1.1.jar，其提供了通过JDBC 连接数据库进行验证的缺省实现，基于该包的支持，我们只需要做一些配置工作即可实现JDBC 认证。

JDBC 认证方法支持多种数据库，DB2, Oracle, MySql, Micros oft SQL Server 等均可，这里以oracle10 作为例子介绍。并且假设o racle SID为：mytest，数据库登录用户名：mytest，数据库登录密码：oracle，用户信息表为：app_user，该表包含用户名和密码的两个数据项分别为userName 和password。如下：

我们测试使用的是oracle数据库，可以选用任何一个支持JDBC 的数据库。用scott/tiger登陆sqlplus,输入如下语句创建用户表和输入测试数据：

打开deployerConfigContext.xml 文件，开始配置

1. 配置 DataStore

2. 配置 AuthenticationHandler

在 cas-server-support-jdbc-3.1.1.jar 包中，提供了 3 个基于

JDBC 的 AuthenticationHandler ，分别为 BindModeSearchDat abaseAuthenticationHandler, QueryDatabaseAuthenticationHandle r, SearchModeSearchDatabaseAuthenticationHandler 。其中 Bind ModeSearchDatabaseAuthenticationHandler 是用所给的用户名和密码去建立数据库连接，根据连接建立是否成功来判断验证成功与否；QueryDatabaseAuthenticationHandler 通过配置一个 SQL 语句查出密码，与所给密码匹配；

SearchModeSearchData

baseAuthenticationHandler 通过配置存放用户验证信息的表、用户名字段和密码字段，构造查询语句来验证。

使用哪个AuthenticationHandler，需要在deployerConfigC ontext.xml 中设置，默认情况下，CAS 使用一个简单的usern ame=password 的AuthenticationHandler（就是第2.5章节所谈到的配置），在文件中可以找到如下一行：，我们可以将其注释掉，换成我们希望的一个AuthenticationHandler，比如，使用QueryDatabase AuthenticationHandler 或SearchModeSearchDatabaseAuthenticati onHandler 可以分别选取下面两个清单的配置。

使用QueryDatabaseAuthenticationHandler

使用SearchModeSearchDatabaseAuthenticationHandler

class="org.jasig.cas.adaptors.jdbc.SearchModeSearchDatabaseAuthentication Handler"

abstract="false" singleton="true" lazy-init="default"

autowire="default" dependency-check="default">

app_user

userName

password

另外，由于存放在数据库中的密码通常是加密过的，所以Authent icationHandler 在匹配时需要知道使用的加密方法，在deployerConfig Context.xml 文件中我们可以为具体的AuthenticationHandler 类配置一个property，指定加密器类，比如对于QueryDatabaseAuthenticatio nHandler，可以修改所示：

添加passwordEncoder

value="select password from app_user where lower(userName) = lower (?)" />

其中myPasswordEncoder 是对如下清单中设置的实际加密器类的引

用：

指定具体加密器类

class="org.jasig.cas.authentication.handler.MyPasswordEncoder"/>

这里MyPasswordEncoder 是根据实际情况自己定义的加密器，实现PasswordEncoder 接口及其encode() 方法。

熟悉spring 的人应该相当对上面的配置感到很亲切，因为CAS3也已经aop，配置都是基于SPRING的方式。

4、部署依赖包

在以上配置完成以后，需要拷贝几个依赖的包到cas 应用下，包括：

?将cas-server-support-jdbc-3.1.1.jar 拷贝到%CATALINA_HOM E%/webapps/cas/ WEB-INF/lib 目录。

?数据库驱动。

?DataStore 依赖于commons-collections-3.2.jar, commons-dbcp-1.

2.1.jar, commons-pool-1.

3.jar，（如果不采用DBCP 连接池，则作相应更换）需要到apache 网站的Commons 项目下载以上3 个包放进%CATALINA_HOME%/webapps/cas/WEB-INF/lib 目录。

5、再次测试

需要验证时输入数据库中存放的用户名和密码即可。

2.6.2如何获取登录的用户名

CAS 在登录成功过后，会给浏览器回传Cookie，设置新的到的Service Ticket。但客户端应用拥有各自的Session，我们要怎么在各个应用中获取当前登录用户的用户名呢？CAS Client 的Filter 已经做好了处理，在登录成功后，就可以直接从Session 的属性中获取：

1、在Java 中通过Session 获取登录用户名

// 以下两者都可以

session.getAttribute(CASFilter.CAS_FILTER_USER);

session.getAttribute("https://www.sodocs.net/doc/ee9928740.html,er");

2、在JSTL 中获取用户名的方法如所示：

通过JSTL 获取登录用户名

3、通过CASFilterRequestWrapper 获取登录用户名

另外，CAS 提供了一个CASFilterRequestWrapper 类，该类继承自HttpServletRequestWrapper，主要是重写了getRemoteUser() 方法，只要在前面配置CASFilter 的时候为其设置“edu.yale.its.tp.cas.client. filter.wrapRequest ”参数为true，就可以通过getRemoteUser（）方法来获取登录用户名，具体方法如：

CASFilterRequestWrapper reqWrapper=new CASFilterRequestWrapper(request);

out.println("The logon user:" + reqWrapper.getRemoteUser());

CAS_SSO单点登录实例详细步骤

CAS SSO单点登录实例详细步骤 原创作者：孙俊财

第一步 1、用keytool生成证书： 命令： keytool -genkey -alias sjc -keyalg RSA -keysto re c:/store/mykey 说明: 这里-alias sjc 是表示生成的这个证书的别名叫sjc，-keyalg RSA 指的是采用的RSA算法，-keystore c:/store/mykey是指生成的证书存储的位置。回车后会提示你输入keystore password，这可以自己定(这里输入sunjuncai,下面配tomcat时要用的)，然后是一些个人信息及组织信息，可以轻松搞定。 注意：密码输入后，会让你输入其他信息，记得这里第一个姓名必须是服务器的域名这里我输入的是完整计算机名称：gaofeng.nmc.hamcc 这里要注意如果不这样写就会报如下异常： java.io.IOException: HTTPS hostname wrong: should be 实战: C:\Documents and Settings\wangyoushi8>keytool -genkey -alias sjc -keyalg RSA -keystore c:/store/mykey 输入keystore密码：sunjuncai

您的名字与姓氏是什么？ [Unknown]：gaofeng.nmc.hamcc 您的组织单位名称是什么？ [Unknown]：上海神洲数港 您的组织名称是什么？ [Unknown]：网络优化 您所在的城市或区域名称是什么？ [Unknown]：郑州 您所在的州或省份名称是什么？ [Unknown]：河南 该单位的两字母国家代码是什么 [Unknown]：ZH CN= gaofeng.nmc.hamcc, OU=上海神洲数港, O=网络优化, L=郑州, ST=河南, C=ZH 正确吗？ [否]：y 输入的主密码 （如果和keystore 密码相同，按回车）： 2、创建证书后，就导出证书: 命令： keytool -export -file c:/store/server.crt -alias sjc -keystore c:/store/mykey 说明: 从c:/store/mykey里取出证书入到c:/store/下,如果没有指定，就是存放在目录下C:\Documents and Settings\用户目录名\ 实战： C:\Documents and Settings\wangyoushi8>keytool -export -file c:/store/server.crt -alias sjc -keystore C:/store/mykey 输入keystore密码：sunjuncai 保存在文件中的认证 3、为客户端的JVM导入密钥: 命令： keytool -import -keystore D:/jdk1.5.0_12/jre/lib/security/cacerts -file c:/store/server.crt -alias sjc 说明： 注意：输入密码时密码为"changeit"，这是默认密码. 特别说明：这个D:/jdk1.5.0_12/jre/lib/security/cacerts是指JDK的JRE路径下的lib目录. 至此，第一步完成。 实战： C:\Documents and Settings\wangyoushi8> keytool -import -keystore D:/jdk1.5.0_12/jre/lib/security/cacerts -file c:/store/server.crt -alias sjc 输入keystore密码：changeit

简单的单点登录实现过程及效果展示

一、实现过程 从用到的jar包文件夹的cas-server-3.3.1modules中找出cas.war放到tomcat/webapps下面(cas-server-webapp-3.3.1.war重命名即可)。 现在cas默认的server端已经有了，下面自己写2个客户端测试一下 MyEclipse里面新建web project:sso 新建类HelloWorldExample package servlet; import java.io.IOException; import java.io.PrintWriter; import java.util.Enumeration; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public final class HelloWorldExample extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException { response.setContentType("text/html");

PrintWriter writer = response.getWriter(); writer.println(""); writer.println(""); writer.println(""); writer.println(""); writer.println(""); writer.println("

"); writer.println(""); writer.println(""); writer.println(""); writer.println(""); writer.println("

"); writer.println(""); writer.println("

"); writer.println(" Sample Application Servlet "); writer.println("This is the output of a servlet that is part of"); writer.println("the Hello, World application."); writer.println("

");

CAS单点登录配置全过程

CAS配置全过程 软件工具： 1.cas-server-3.3.5-release.zip（CAS服务端） 2.cas-client- 3.1.10-release.zip（CAS客户端） 3.apache-tomcat-7.0.40 https://www.sodocs.net/doc/ee9928740.html,mons-dbcp-all-1.3-r699049.jar 5.mysql-connector-java-5.1.18-bin.jar 6.cas-server-jdbc-3.0.5-rc2.jar 写在前面的话 此配置是根据当前系统，当前的版本，仅供参考，如果有什么其他的问题可以一起研究。 第一节：先走通技术障碍 第一步：环境部署 1.在Tomcat 根目录下创建一个cas目录。 2.下载CAS服务器并解压，打开cas-server- 3.3.5\modules，将cas-server-webapp-3.3.5.war复制到刚刚在Tomcat创建的cas目录下，并重命名为ROOT.war 3.修改host文件（C:\Windows\System32\drivers\etc）添加 127.0.0.1 https://www.sodocs.net/doc/ee9928740.html, 注意：如果想在一台PC机上模拟这个单点登录，就必须域名重定向，如果是多台ＰＣ机，

可以不配置此项，下文有用到https://www.sodocs.net/doc/ee9928740.html,，可以用相应ＰＣ机的ＩＰ代替 4.修改Tomcat文件下的server.xml（apache-tomcat-7.0.40\conf\server.xml） 添加内容： 5.启动Tomcat服务，查看信息，（如果有报错，可以根据信息查找错误），打开浏览器，输入https://www.sodocs.net/doc/ee9928740.html,:8080如果出现以下界面，则CAS服务端配置成功。 注：这个是最简单的CAS服务，只要输入的用户名跟密码一样，就可以正常登陆，在我们实际开发中，这个验证因为跟数据库作比较，接下来，我们就配置数据库校验。 第二步：配置数据库验证 1.打开deployerConfigContext.xml，在apache-tomcat-7.0.40\cas\ROOT\WEB-INF目录下，找到如下代码： 添加下面代码： 2.增加数据源dataSource， 在deployerConfigContext.xml，（跟上面同一个文件）找到 ，在下面添

CAS单点登录

CAS单点登录总结 一、服务端搭建 1．安装JDK。 2．安装Tomcat。安装版本Tomcat7.0. 3．在Tomcat上配置SSl （1）生成证书。在C盘根目录下建立子文件夹“Keys”，用于存放证书。在 JDK安装文件夹下的bin文件夹（C:\Program Files\Java\jre1.8.0_60\bin）下打开“命令窗口”。 （2）执行命令“keytool -genkey -alias tomcat -keyalg RSA -storepass changeit -keystore c:\keys\.keystore -validity 3600”创建证书。 （3）将证书导入的JDK的证书信任库中 第一步：导出证书。 执行命令“keytool -export -trustcacerts -alias tomcat -file c:\keys\tomcat.cer -keystore c:\keys\.keystore -storepass changeit”将证书导出到Keys文件夹。 第二步：将证书导入到JDK证书信任库。 执行命令“keytool -import -trustcacerts -alias tomcat -file c:\keys\tomcat.cer -keystore "C:\Program Files\Java\jre7\lib\security\cacerts" -storepass changeit”。系统询问 是否信任此证书，回答“y” 4、配置server.xml文件 用文本编辑器管理员身份运行，打开Tomcat7.0下的server.xml文件（C:\Program

CAS认证实现单点登录

CAS认证实现单点登录 一.背景 有几个相对独立的java的web应用系统，各自有自己的登陆验证功能，用户在使用不同的系统的时候，需要登陆不同的系统。现在需要提供一个 统一的登陆/登出界面，而不修改各个系统原来的登陆验证机制。于是采用单点登录系统开源单点登录产品CAS。 随着新的业务网站不断的增加，用户在每个应用系统中都有独立的账号，这样就造成在访问不同的应用系统时，需要记录对应的用户名和密码，多 个用户名密码极易记混，如果忘记或记错了某一个业务网站的用户名或密码就无法进行登录，耽误工作，影响工作效率 允许用户一次性进行认证之后，就访问系统中不同的应用 二.原理 CAS 是一个独立的web 应用, 当前使用Java Servlets 实现，通过HTTPS 协议保证其数据的传输安全性。它通过三个Url 地址进行访问：登录Url、验证URL、注销URL。

三. CAS认证集成 要使用单点登录，需要部署CAS系统，CAS服务端可以直接部署在tomcat下运行，对于CAS服务端来说，所有要集成单点登录的web应用都是它的一个客户端，CAS有客户端jar包，客户端web应用需要引入CAS客户端的jar包，这样CAS系统的服务端和客户端web应用程序端才能通信。 客户端web应用程序的通过配置web.xml，添加CAS需要的各种过滤器，来实现和CAS服务器通信，用户信息验证工作在CAS 服务端统一完成，验证通过后，客户端web应用程序只需要补全自己的Session信息即可。 3.1部署CAS系统服务端 步骤1：准备好以下运行环境 jdk1.6+

tomcat6+ jdk与tomcat的下载、安装、配置在此略过。 步骤2：安装部署cas-server 到官网（https://www.sodocs.net/doc/ee9928740.html,/cas/cas-server-3.5.0-release.zip）下载cas-server-3.5.0-release.zip。解压缩以后，在其路 径 cas-server-3.5.0\modules 下面找到 cas-server-webapp-3.5.0.war，将其拷贝到 tomcat 的webapps 下，改名为 cas.war, 并修改 war 包中配置文件 cas.properties 里的 cas server name=cas 并启动 tomcat，启动后可在浏览器访 问 http://localhost:8080/cas/login

CAS实现单点登录(SSO)经典完整教程

一、简介 1、cas是有耶鲁大学研发的单点登录服务器 2、本教材所用环境 ?Tomcat7.2 ?JDK6 ?CAS Service 版本 cas-server-3.4.8-release ?CAS Client版本 cas-client-3.2.1-release 二、生成证书 证书对于实现此单点登录非常之重要，证书是服务器端和客户端安全通信的凭证，本教程只是演示，所有用了 JDK自带的证书生成工具keytool。当然在实际项目中你可以到专门的证书认证中心购买证书。 中文官方网站：https://www.sodocs.net/doc/ee9928740.html,/cn/ 1、用JDK自带的keytool生成证书 view plain 1.命令：keytool -genkey -alias smalllove -keyalg RSA -keystore D:/keys/smallkey 此命令是生成一个证书，其中smalllove 是证书别名 此命令的执行如图所示：

其中名字与姓氏这一最好写你的域名，如果在单击测试你可以在C:\Windows\System32\drivers\etc\hosts文件中映射一个虚拟域名，注意不要写IP。 2、导出证书 view plain

1.命令：C:\>keytool -export -file d:/keys/small.crt -alias smalllove -keystore d:/keys/smallkey 如图： 密码为上步设置的密码。 3、把证书导入到客户端JDK中。 view plain 1.命令：keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove 此命令是把证书导入到JDK中。 如图：

CAS单点登录配置全过程

CAS配置全过程 说明:这里只是简单的配置了CAS单点登录的过程，并没有加入复杂的验证，也没有做MD5的校验。输入数据库中存在的用户名跟密码就会登录成功 一． 首先需要下载cas-server-3.4.2-release.zip包，这个包里面包含CAS Server服务器的war包。解压之后放到找到cas-server-3.4.2\modules 下的 cas-server-webapp-3.4.2.war , 拷tomcat\webapps\下并改名为cas.war。 启动tomcat后会在webapps下看到cas文件，然后停止tomcat. 二. 配置tomcat以及修改cas server的配置 1.生成证书并导入到jdk的jre中 请直接运行附件中的.bat文件会自动把证书生成在D盘根目录下并导入到jre 中 这是bat脚本内容 keytool -genkey -alias tomcatgecko -keyalg RSA -keystore d:\mykeystore -dname "CN=gecko-4d4611f2e, OU=gecko-4d4611f2e, O=gecko-4d4611f2e, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit keytool -export -alias tomcatgecko -keystore d:\mykeystore -file d:\mycerts.crt -storepass changeit keytool -import -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -file d:\mycerts.crt -alias tomcatgecko 这里要注意：证书是要导入到tomcat使用的jdk。不然CAS在跳转时会找不到本地域名脚本中红色的部分是写自己的计算机名称

CAS单点登录系统实操指南

CAS单点登录系统实操指南 CAS单点登录系统实操指南 (1) 1. CAS单点登录介绍 (3) 1.1. 什么是单点登录 (3) 1.2. 什么是CAS (3) 2. CAS服务端部署及配置 (5) 2.1. 基础部署配置 (5) 2.2. 去除https认证 (7) 2.3. 登录数据源设置 (8) 2.3.1 密码未加密处理 (8) 2.3.2 密码MD5加密配置 (9) 2.4. 登录页面的极简改造 (10) 3. CAS客户端搭建 (11) 3.1. 搭建工程并添加依赖 (11) 3.2. 单点登录配置 (12) 3.3. 单点登出配置 (14) 3.3.1 未重定向登出 (14) 3.3.2 重定向地址登出 (15) 3.4. 获取登录用户信息配置 (15) 4. CAS客户端与SpringSecurity集成 (16) 4.1. 搭建工程并添加依赖 (16)

4.2. 修改和创建配置文件 (18) 4.3. 创建Spring-security认证脚本 (22) 4.4. 获取登录名 (22)

1. CAS单点登录介绍 1.1. 什么是单点登录 单点登录（Single Sign On），简称为SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 我们目前的系统存在诸多子系统，而这些子系统是分别部署在不同的服务器中，那么使用传统方式的session是无法解决的，我们需要使用相关的单点登录技术来解决。 1.2. 什么是CAS CAS 是Yale 大学发起的一个开源项目，旨在为Web 应用系统提供一种可靠的单点登录方法，CAS 在2004 年12 月正式成为JA-SIG 的一个项目。CAS 具有以下特点：

单点登录_尚学堂CAS讲义

一.SSO (Single Sign-on)原理 SSO 分为Web-SSO和桌面SSO。桌面SSO 体现在操作系统级别上。Web-SSO体现在客户端，主要特点是：SSO 应用之间使用Web 协议( 如HTTPS) ，并且只有一个登录入口。我们所讲的SSO，指Web SSO 。 SSO 的体系中，有下面三种角色： ?User（多个） ?Web应用（多个） ?SSO认证中心（一个） SSO 实现模式千奇百怪，但万变不离其宗，包含以下三个原则： ●所有的登录都在 SSO 认证中心进行。 ●SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是不是通过认证的 用户。 ●SSO 认证中心和所有的 Web 应用建立一种信任关系。 二.CAS 的基本原理 CAS(Central Authentication Service) 是Yale 大学发起的构建Web SSO 的Java开源项目。 1.CAS 的结构体系 ◆CAS Server CAS Server 负责完成对用户信息的认证，需要单独部署，CAS Server 会处理用户名/ 密码等凭证(Credentials) 。 ◆CAS Client CAS Client部署在客户端，当有对本地Web 应用受保护资源的访问请求，并且需要对请求方进行身份认证，重定向到CAS Server 进行认证。 2.CAS 协议 基础协议

上图是一个基础的CAS 协议，CAS Client 以过滤器的方式保护Web 应用的受保护资源，过滤从客户端过来的每一个Web 请求，同时，CAS Client 会分析HTTP 请求中是否包请求Service Ticket( 上图中的Ticket) ，如果没有，则说明该用户是没有经过认证的，CAS Client 会重定向用户请求到CAS Server （Step 2 ）。Step 3 是用户认证过程，如果用户提供了正确的认证信息，CAS Server 会产生一个随机的Service Ticket ，会向User 发送一个Ticket granting cookie (TGC) 给User 的浏览器，并且重定向用户到CAS Client （附带刚才产生的Service Ticket），Step 5 和Step6 是CAS Client 和CAS Server 之间完成了一个对用户的身份核实，用Ticket 查到Username ，认证通过。 3.CAS 如何实现SSO 当用户访问Helloservice2再次被重定向到CAS Server 的时候，CAS Server 会主动获到这个TGC cookie ，然后做下面的事情： 1)如果User 的持有TGC 且其还没失效，那么就走基础协议图的Step4 ，达到了 SSO 的效果。 2)如果TGC 失效，那么用户还是要重新认证( 走基础协议图的Step3) 。 三.实践配置 下面我们以tomcat 5.5 为例进行说明(这里，我将Server和Client同时放在了同一个Tomcat服务器下)。 软件环境：tomcat 5.5 ant-1.6.5, jdk1.5.0_06 下载cas-server-3.0.4.zip和cas-client和cas-server-jdbc-3.0.5-rc2.jar和mysql 5.0.16和tomcat 5.5.15 https://www.sodocs.net/doc/ee9928740.html,/downloads/cas/cas-server-3.0.4.zip

CAS3.5.2单点登录详解

服务端cas： 从网上下载cas：https://www.sodocs.net/doc/ee9928740.html,/ 在cas下： 在cas-client下： 解压cas-server-3.5.2-release.zip\cas-server-3.5.2\module\cas-server-webapp-3.5.2.war部署到tomcat上， 设置 F:\apache-tomcat-6.0.30\webapps\cas\WEB-INF\cas-servlet.xml(大家取实际情况的路径) 默认为false，这个设置是为了让登出(logout)以后进入到指定页面. 设置deployerConfigContext.xml 配置数据源和加密： oracle.jdbc.driver.OracleDriver jdbc:oracle:thin:@127.0.0.1:1521:orcl require require 然后注释掉下面这行,这行是为了测试使用，只要账号密码相同就可以通过验证

CAS 单点登录操作文档

这人CAS 在 Tomcat 中实现单点登录 1证书生成及导入 1.1Server端证书配置 1.2 JAVA信任证书库 D:\Program Files\Java\jdk1.5.0\jre\lib\security\cacerts cacerts证书库默认密码-storepass changeit 查看证书 1.1.1.2 keytool -list -keystore cacerts -storepass changeit 如果存在则删除 1.1.1.1 keytool -delete -alias tomcatsso -keystore cacerts -storepass changeit 创建证书库 1.1.1.3 keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=https://www.sodocs.net/doc/ee9928740.html," -keystore server.keystore -storepass 12345678 导出证书 1.1.1.4 keytool -export -alias tomcatsso -file tomcatsso.crt -keystore server.keystore -storepass 12345678 加入JAVA信任证书库 1.1.1.5 keytool -import -alias tomcatsso -file tomcatsso.crt -keystore ../jre/lib/security/cacerts -storepass changeit 说明：在生成key的过程，"cn=https://www.sodocs.net/doc/ee9928740.html," 中的https://www.sodocs.net/doc/ee9928740.html,为Server端的域名(必填)。 1.2.1TOMCAT 配置SSL支持

软件工程-使用CAS实现SSO简洁教程

目录 0. 文档介绍 (2) 0.1文档目的 (2) 0.2文档范围 (2) 0.3读者对象 (2) 0.4参考文献 (2) 0.5术语与缩写解释 (2) 1.概述 (3) 1.1背景 (3) 1.2环境 (3) 1.3下载资源 (3) 2. 配置CAS SERVER (4) 2.1简单配置 (4) 2.2数据库验证配置 (5) 2.3参数配置 (8) 2.4HTTPS验证配置 (10) 2.5自定义页面 (13) 3. 配置JAVA CLIENT (16) 3.1HTTPS验证 (16) 3.2HTTP验证 (18) 4. 配置DOTNET CLIENT (19) 5. 配置PHP CLIENT (23) 6. 如何实现单点注销 (23)

0. 文档介绍 0.1 文档目的 记录使用CAS实现SSO的过程。 0.2 文档范围 使用CAS实现SSO的过程。 0.3 读者对象 任何有兴趣的家伙。 0.4 参考文献 提示：列出本文档的所有参考文献（可以是非正式出版物），格式如下：[标识符] 作者，文献名称，出版单位（或归属单位），日期 大部分都是网络上查询的资料，很多，不列举了。 0.5 术语与缩写解释

1.概述 1.1背景 单点登录是必须的，实现方式颇多，这里就说使用CAS的实现方式。使用CAS实现SSO，网络上说明很多，大部分都是从制作证书开始，而实际上是可以不使用HTTPS 验证，这样更方便。 单点登录的原理是通过拦截你设定的URL，并跳转到你指定的CAS SERVER登录页，当你登录成功后，带着TICKET，返回到你打开的URL。然后你就可以一票在手，畅通无阻。 网上有个家伙用旅游的套票来解释单点登录，非常形象。当你到达一个旅游区门口，你可以买一个套票，套票规定你可以游览N个景点，进入这些景点的时候，你不需要再买票，也就实现了单点登录。 同时，也可以借用这个比喻说明一下单点注销。当你打开一个应用A时，单击了注销按钮，跳转到http://hostname:port/cas/logout或者https://hostname:port/cas/logout，系统显示注销成功。此时，IE窗口没有关闭，你继续打开应用A，仍然没有注销成功，不需要登录。这就相当于你已经在旅游景点内，即使你把套票撕毁了，你仍然可以继续参观这个景点，不会把你驱逐出去。但是，你再也进不了其它的景点了。 那么怎么实现立即生效的注销呢？或者这种方式是否就满足我们的需求呢？ 1.2环境 Windows XP、JDK1.6.03、Tomcat6.0.20 注意：配置好环境变量。 1.3下载资源 服务器端：https://www.sodocs.net/doc/ee9928740.html,/downloads/cas 当前最新版本是3.3.4，测试安装的版本为3.3.3 cas-server-3.3.3-release.zip 客户端：https://https://www.sodocs.net/doc/ee9928740.html,/svn/cas-clients/ cas-client-2.0.11.zip JAVA支持单点登录 cas-client-3.1.8-release.zip JAVA支持单点注销 dotnet-client DOTNET支持类 phpcas PHP支持

基于CAS模式的单点登录系统设计与分析

Computer Science and Application 计算机科学与应用, 2019, 9(7), 1434-1440 Published Online July 2019 in Hans. https://www.sodocs.net/doc/ee9928740.html,/journal/csa https://https://www.sodocs.net/doc/ee9928740.html,/10.12677/csa.2019.97161 Design and Analysis of Single Sign on System Based on CAS Mode Xiaowei Xu, Jinlei Wang, Wenfei Jiang, Fengjuan Cui North China Sea Data and Information Service, SOA, Qingdao Shandong Received: Jul. 9th, 2019; accepted: Jul. 22nd, 2019; published: Jul. 29th, 2019 Abstract In order to solve the problem of the integration of the existing business application system of NCS, this paper makes a deep research on the principle of CAS integrated authentication, and designs a single sign on system based on CAS mode. Based on the actual situation of various software systems of NCS, this paper analyzes the problems faced by various systems to achieve single sign-on, propos-es different solutions to these problems, and provides technical route for the integration of business application systems of NCS, so as to realize the construction of single sign-on system of NCS. Keywords CAS Authentication, SSO, System Integration 基于CAS模式的单点登录系统设计与分析 徐晓玮，王金磊，姜雯斐，崔凤娟 国家海洋局北海信息中心，山东青岛 收稿日期：2019年7月9日；录用日期：2019年7月22日；发布日期：2019年7月29日 摘要 针对自然资源部北海局现有业务应用系统整合问题，对CAS集成认证原理进行深入研究，设计搭建了基于CAS模式的单点登录系统。结合北海局各类软件系统的实际情况，分析各类系统实现单点登录所面临的问题，针对这些问题提出不同的解决方案，为北海局业务应用系统的整合集成提供技术路线，以实现北海局单点登录系统的建设。

统一身份认证-CAS配置实现

一、背景描述 随着信息化的迅猛发展，政府、企业、机构等不断增加基于 Internet/lntranet的业务系统，如各类网上申报系统，网上审批系统，OA系统等。系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施，而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题： 1、每个系统都开发各自的身份认证系统，这将造成资源的浪费，消耗开发 成本，并延缓开发进度； 2、多个身份认证系统会增加系统的管理工作成本； 3、用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘 而导致的支持费用不断上涨； 4、无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不 同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化； 5、无法统一分析用户的应用行为 因此，对于拥有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少信息化系统的成本。单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关”的目标，方便用户使用。 二、CAS简介 CAS( Ce ntral Authe nticati on Service )，是耶鲁大学开发的单点登录系 统(SSO single sign-on )，应用广泛，具有独立于平台的，易于理解，支持代理功能。CAS S统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS并提供了易于使用的方案。Acegi安全系统，是一个用于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务，包括使用Bean Context，拦截器和面向接口的编程方式。因此，Acegi 安全系统能够轻松地适

无废话CAS单点登录配置全过程

CAS配置全过程 申明： 我使用的是3.4.6版本，在路径上、文件名上可能与您的版本不一样，请务必看清您的CAS版本。 在这里我没有写过多的废话，里面属性的作用、证书的制作等都属于额外的话题，这里就是将CAS部署、运行起来。至于其他的东西，可以慢慢研究。 写在前面的话 看了下面的文字说明如果还是搞不明白这么回事的或遇到什么疑难杂症的，请加入我的QQ群（35271653），群里没几个人，聊起来方便。在CAS上我也有很多没有解决的问题（例如防止重复登录），大家一起共同探讨。 第一节：先走通技术障碍 第一步：环境部署 下载CAS服务器并解压，在此处我的目录是D:\Program Files\Apache Software Foundation\cas-server-3.4.6，您可以根据实际情况解压。 打开cas-server-3.4.6 \modules，将其中的cas-server-webapp-3.4.6.war拷贝至您的Apache Tomcat的WebApps目录下。改名为cas.war（为了方便）并启动Tomcat，启动完成后关闭Tomcat。在WebApps下会看到cas工程文件夹。 将cas-server-3.4.6\modules下的cas-server-support-jdbc-3.4.6.jar复制到CAS 工程的\WEB-INF\lib下，同时还需要commons-dbcp.jar，此包在CAS里我没找到，我是在网上下载的。 然后将Oracle数据库驱动加入到cas工程的lib下。 第二步：配置数据库验证 打开cas/web-inf/deployerConfigContext.xml，找到如下代码： 这段代码本来是用于测试的，所以没有任何实际用途，在实际应用中应当采用XML文件或数据库验证，下面就是数据库验证的配置文件。将原来的代码其替换成如下代码：

SSO之CAS单点登录详细搭建

SSO之CAS单点登录详细搭建： 环境说明： 同一个机器上环境如下： 操作系统：windows7 64位 JDK版本：1.7.0_80 web容器版本：apache-tomcat-7.0.70 64位 服务端：cas-3.5.2.1.zip 服务端现在地址：https://https://www.sodocs.net/doc/ee9928740.html,/apereo/cas/archive/v4.2.3.zip 客户端：cas-client-3.3.3-release.zip 客户端下载地址：https://www.sodocs.net/doc/ee9928740.html,/cas-clients/ eclipse版本：eclipse-jee-luna-SR2-win32-x86_64.zip 1、将cas-3.5.2.1 cas-client-3.3.3 标准maven工程导入eclipse 打包编译； 2、修改本机C:\Windows\System32\drivers\etc\hosts (CAS单点登录系统是基于JAVA安全证书的https 访问，要使用CAS单点登录必须要配置域名, cas是不能通过ip访问的.) 附件-->记事本管理员权限编辑hosts文件，加入如下三行代码后保存。 127.0.0.1 https://www.sodocs.net/doc/ee9928740.html, 127.0.0.1 https://www.sodocs.net/doc/ee9928740.html, 127.0.0.1 https://www.sodocs.net/doc/ee9928740.html, 解释： https://www.sodocs.net/doc/ee9928740.html, =>> 对应部署cas server的tomcat，这个虚拟域名还用于服务端证书生成 https://www.sodocs.net/doc/ee9928740.html, =>> 对应部署client1客户端应用的tomcat https://www.sodocs.net/doc/ee9928740.html, =>> 对应部署client2客户端应用的tomcat 3、安全证书配置 3.1、管理员模式打开cmd命令窗口，生成证书，在cmd窗口输入以下命令： C:\Users\Administrator>keytool -genkey -alias ssoflyer -keyalg RSA -keysize 1024 -keypass flyer2016 -validity 365 -keystore D:\app\flyer.keystore -storepass flyer2016 说明：-alias自定义的别名； -keypass指定证书密钥库的密码； -storepass和前面keypass密码相同,否则下面tomcat配置https会访问失败； -keystore指定证书的位置,例如：D:\app\目录,密钥库名称可以自定义，例如：flyer.keystore 特别注意：您的名字与姓氏是什么？该项一定要使用网站的域名，例如: https://www.sodocs.net/doc/ee9928740.html, ，Cas Client使用httpclient访问cas server的时候，会严格的检查证书。 示例如下： C:\Users\Administrator>keytool -genkey -alias ssoflyer -keyalg RSA -keysize 1024 -keypass

CAS单点登录集成文档

一、介绍 CAS单点登录为业务系统提供统一的单点登录服务。业务系统不需要开发自己的登录界面，系统使用者也避免了在多个业务系统间重复输入密码，改善了用户体验，同时密码实现集中维护，提高了系统的安全性。 单点登录演示地址：http://172.16.10.40:1433/cas/login(社管平台测试环境)业务系统可以使用这个地址进行开发测试。 二、下载 CAS为J2EE B/S应用提供了应用集成API，可以直接调用实现单点登录的集成。：cas-client.jar 文件下载后复制到业务系统的WEB-INF/lib目录。 三、配置 在web.xml中配置认证过滤器（实现单点登录用户认证）和会话监听器（实现单点登录的注销），例如： com.iflytek.cas.listener.LogoutSessionListener casFilter com.iflytek.cas.filter.TicketValidationFilter appUrl casLoginUrl http://172.16.10.40:1433/cas/login ticketValidateUrl http://172.16.10.40:1433/cas/validate casFilter /* 过滤器参数说明： 1、appUrl：Client会根据浏览器请求自动判断这个地址，所以一般情况下是不需要设置的。但是在反向代理环境中，CAS Client会得到代理服务器的地址，所以必须手工指定这个地址。