CAS单点登录.doc

单点登录学习教材 单点登录学习教材 1 1 前言 2 2 SSO前提 2 2.1 统一用户管理 2 2.2 统一认证 3 3 SSO常见解决方案 4 4 邮政实行SSO需求分析 4 5 SSO产品研究 5 5.1 CAS 5 5.1.1 简介 5 5.1.2 CAS结构体系 5 5.1.3 CAS协议 6 5.1.4 安全性 7 5.1.5 应用实践 8 下载文件版本 8 Server端部署 9 .1 SSL方式 9 .2 非SSL方式 10 Client端部署 10 认证接口实现 12 .1 数据库 13 .2 LDAP 14 CAS单点退出 15 扩展CAS界面 16 应用系统改造 17 .1 改造要点 17 .2 致发框架改造实现 18 .3 门户单点登录场景应用 18 5.2 JOSSO 19 前言 多年以来，广东邮政根据各种业务信息水平的需要构建了相应的应用系统，由于这些应用系统一般是在不同的时期开发完成的，各应用系统由于功能侧重、设计方法和开发技术都有所不同，也就形成了各自独立的用户库和用户认证体系。随着业务应用系统的不断增加，用户不断收藏各业务系统的访问地址，系统使用时不断反复登录，影响工作效率，影响业务信息化带来的快捷性和高效性。此外，多个应用平台有多个用户管理，各系统的用户维护工作非常繁琐。特别是随着局内对应用系统安全规范的发布，对用户管理和认证都有较高的要求，因此建立一套统一的单点登录系统（引伸为统一门户系统）具有切实的实际意义。 SSO前提 单点登录的英文名称为Single Sign-On，简写为SSO，它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。 实现SSO的有两大前提，分别是统一用户管理和统一认证，其中统一用户管理又是实现统一认证的基础。 统一用户管理 移动和电信都已实现了统一用户管理，邮政做为类似的集团性公司，对组织机构内所有应用实行统一的用户信息的存储和管理。 统一用户管理要遵循以下两个基本原则： 统一性原则：实现对目前已知用户类型进行统一管理；对包括分支机 在内的整个组织机构内的所有用户进行用户目录复制和统一管理；对 户的用户体系和各应用系统各自独立的用户体系进行统一管理；对员工的加入和离开进行整个生命周期的管理。 可扩充性原则：能够适应对将来扩充子系统的用户进行管理。 统一的用户信息存储可基于： 数据库方式：支持将统一的用户信息存储于各大主流数据库中，如Oracle、DB2、SQL Server、Sybase、MySQL 等； 对于邮政，一般选择Oracle。 LDAP目录方式：支持将统一的用户信息存储于LDAP目录中， 主流LDAP服务器如Domino LDAP、 Sun One Directory Server、 OpenLDAP、 MS Active Directory、 Novell NDS、Netscape Directory Server等。SunOne Directory Server有企业版，有免费版可用；OpenLDAP为开源LDAP实现。 统一用户管理不是本学习笔记的重点，网上一篇文章讲解得很好。参考： 统一认证 单点登录，在狭义上将就是统一认证，商业的和开源的统一认证产品都很多，本文对单点登录研究的主要内容在统一认证。 一般说来，统一认证体系中，至少包含如下三种角色： User （多个） Web 应用（多个） SSO 认证中心（ 1 个） 虽然 SSO 实现模式千奇百怪，但万变不离其宗： Web 应用不处理 User 的登录，否则就是多点登陆了，所有的登录都在 SSO 认证中心进行。 SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是不是张三 / 李四。 SSO 认证中心和所有的 Web 应用建立一种信任关系， SSO 认证中心对用户身份正确性的判断会通过某种方法告之 Web 应用，而且判断结果必须被 Web 应用信任。 SSO常见解决方案 基于domain的方案 原理：应用A在，B在，如果设cookie的时候，设domain为，那在A、B上都可以访问到这个cookie了。（cookie的domain、path、port、version、secure相同）。 该方案特点： 1、不能够跨域 2、在网络中传送用户名和密码 3、只支持J2EE应用 基于gateway的方案 实际部署的时候，对所有应用的请求，都要通过一个gateway转发一下，比如用一个L4的交换机顶在前面 基于tooken传递的方案 主要是以耶鲁大学的CAS项目为基础。 具体的应用看不到用户的密码。由CAS执行授权，只有CAS能看到用