单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

简单的说，CAS（Central Authentication Service – 中心认证服务）的目的就是使分布在一个企业内部各个不同异构系统的认证工作集中在一起，通过一个公用的认证系统统一管理和验证用户的身份。在CAS上认证的用户将获得CAS颁发的一个证书，使用这个证书，用户可以在承认CAS证书的各个系统上自由穿梭访问，不需要再次的登录认证。打个比方：对于加入欧盟的国家而言，在他们国家中的公民可以凭借着自己的身份证，在整个欧洲旅行，不用签证。对于企业内部系统而言，CAS就是这个颁发欧盟认证的系统，其它系统都是加入欧盟的国家，它们要共同遵守和承认CAS的认证规则。

Weblogic使用Yale(耶鲁)CAS实现SSO单点登录+的方法

在门户项目中，经常会遇到如何实现单点登录的问题，下面就本人的经验做个总结。欢迎大家进行补充讨论。单点登录的具体实现有很多种选择，包括： 采用专门的SSO商业软件： 主要有：Netgrity的Siteminder，已经被CA收购。Novell 公司的iChain。 RSA公司的ClearTrust等。

CAS1.0也称为基础模式　适用场合：参与SSO的应用都为Web应用，且各应用之间相互独立，没有复杂的集成关系。CAS2.0　CAS2.0称为代理模式　适用场合：参与SSO的应用存在非Web应用（CAS使用Cookie，故非Web应用不宜于直接做CAS的客户应用）应用之间，存在集成关系。CAS协议内容CAS协议定义了一组术语，一组票据，一组接口。

单点登录的英文名称为Single Sign-On，简写为SSO，它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。 实现SSO的有两大前提，分别是统一用户管理和统一认证，其中统一用户管理又是实现统一认证的基础。

　　　实现一个易用的、能跨不同Web应用的单点登录认证中心。 　　　实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全漏洞。 　　　降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略。

cas是个好东西，很灵活很好用，但是配置起来很麻烦，网上资料比较零碎。不弄个三五天根本不知道其中的原理，终于在多天的奋斗中配置成功，现在将配置的一些过程记录下来供大家参考。

所谓单点登录是指基于用户/会话认证的一个过程，用户只需一次性提供凭证（仅一次登录），就可以访问多个应用。 目前单点登录主要基于Web的多种应用程序，即通过浏览器实现对多个B/S架构应用的统一账户认证。CAS是有耶鲁大学研发的单点登录服务器

单点登录的英文名称为Single Sign-On，简写为SSO，它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。SSO将一个企业内部所有域中的用户登录和用户帐号管理集中到一起，SSO的好处显而易见：减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性实现安全的同时避免了处理和保存多套系统用户的认证信息减少了系统管理员增加、删除用户和修改用户权限的时间增加了安全性：系统管理员有了更好的方法管理用户，包括可以通过直接禁止和删除用户来取消该用户对所有系统资源的访问权限对于内部有多种应用系统的企业来说，单点登录的效果是十分明显的。

SSO英文全称Single Sign On，单点登录。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。SSO的一种较为通俗的定义是指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。

Single Sign-On (SSO)是近来的热门话题. 很多和我交往的客户中都有不止一个运行在.Net框架中的Web应用程序或者若干子域名.而他们甚至希望在不同的域名中也可以只登陆一次就可以畅游所有站点.今天我们关注的是如何在各种不同的应用场景中实现 SSO. 我们由简到繁,逐一攻破.

Oauth授权机制OAuth是什么OAuth认证授权具有哪些特点OAuth的原理认证流程OAUth的访问资源流程实例浅说关联成功OAuth是什么Oauth是使网站和应用程序（统称为消费方）能够在无须用户透露其认证证书的情况下，通过API访问某个web服务（统称为服务提供方）的受保护资源OAuth认证授权具有哪些特点简单：不管是OAuth服务提供者还是应用开发者，都很容易于理解与使用安全：没有涉及到用户密钥等信息，更安全更灵活开放：任何服务提供商都可以实现OAuth，任何软件开发商都可以使用OAuthOAuth的原理认证流程之qq微博OAuth的原理认证流程之sina微博微博API受访资源的流程获取未授权的RequestToken请求用户授权RequestToken使用授权后的RequestToken换取AccessToken使用AccessToken访问或修改受保护资源我方实例实现流程用户是否登入我方网站判断用户是否授权获取未授权的requsttoken请求用户授权requesttoken使用授权后的requesttoken换取accesstoken保存在我方的可控的文件中关联成功发送微博后续我们谈的是OAuth1.0下次在深讨（OAuth2.0）遇到的问题1.应用审核2.授权失败原因及解决方案

OAuth1.0认证流程OAuth：OAuth(开放授权)为用户资源的授权定义了一个安全、开放及简单的标准，第三方无需使用用户的账号、密码，就能获取到用户信息，并且它是安全的。

CAS单点登录服务器的部署以及使用。准备CAS服务器端和客户端Windows下cas服务器端压缩包cas-server-3.4.12-release.zipcas客户端压缩包。

第一次用户访问接入系统时，客户端过滤器过滤请求，试图从请求获取ST ID和session中Assertion。由于是第一次访问，客户端的过滤器获取不到它们的值，所以把请求【/login】重定向到uas服务器，uas服务器从客户端获取TGT ID，此时TGT ID 为空，uas服务器返回登录页面，要求用户重新认证。用户输入正确的用户和密码，uas服务器产一个TGT，并把该TGT存在uas服务器本地的cache中以及cookie中；同时uas服务器也产生一个ST，把ST 存入uas服务器本地的cache中。把ST通过报文的形式返回给客户端。客户解析报文、获取ST，并向给UAS服务器发送请求，要求UAS服务器认证ST。UAS服务器处理该请求，验证ST的有效性。ST验证成功，则UAS服务器获取用户在该接入系统的信息，把该信息封装成一个对象Assertion，并把该Assertion对象通过报文发送给客户端，客户端解析报文获得Assertion对象，把Assertion对象包装在request和session中。此后接入系统从request中获取Assertion对象，从而获得用户相关信息，因此用户成功访问接入系统。

CAS Proxy的目的是，当浏览器用户Peter访问应用A，应用A引用了应用B1, B2的授权性资源(Authorized Resource)，应用A想代表Peter去访问应用B1, B2，因此应用A需要告诉应用B1, B2当前用户是谁，以便B1,B2对Peter的Request进行授权。这就是CAS代理(Proxy)。

记录使用CAS实现SSO的过程。单点登录是必须的，实现方式颇多，这里就说使用CAS的实现方式。使用CAS实现SSO，网络上说明很多，大部分都是从制作证书开始，而实际上是可以不使用HTTPS验证，这样更方便。 单点登录的原理是通过拦截你设定的URL，并跳转到你指定的CAS SERVER登录页，当你登录成功后，带着TICKET，返回到你打开的URL。然后你就可以一票在手，畅通无阻。 网上有个家伙用旅游的套票来解释单点登录，非常形象。当你到达一个旅游区门口，你可以买一个套票，套票规定你可以游览N个景点，进入这些景点的时候，你不需要再买票，也就实现了单点登录。

SOA:Service Oriented Architecture,面向服务的架构,或者说，以服务为基础搭建的企业IT架构.SOA的服务的理念思想,本质上是一种业务和技术完全分离,业务和技术又能自由组合的思想.它达到了目前软件设计思想的最高境界.SOA的出现,预示着一个以服务为导向的新的IT时代的到来.IT的本质IT:InformationTechnology,信息技术,是为企业需要而出现的.

CAS协议分析CAS1.0vs.CAS2.0CAS1.0　CAS1.0也称为基础模式　适用场合：参与SSO的应用都为Web应用，且各应用之间相互独立，没有复杂的集成关系。CAS2.0　CAS2.0称为代理模式　适用场合：参与SSO的应用存在非Web应用（CAS使用Cookie，故非Web应用不宜于直接做CAS的客户应用）应用之间，存在集成关系。CAS协议内容CAS协议定义了一组术语，一组票据，一组接口。