CAS介绍CAS是Yale大学发起的一个开源项目，旨在为Web应用系统提供一种可靠的单点登录方法，CAS在2004年12月正式成为JA-SIG的一个项目。CAS具有以下特点：•开源的企业级单点登录解决方案。•CASServer为需要独立部署的Web应用。•CASClient支持非常多的客户端(这里指单点登录系统中的各个Web应用)，包括Java,.Net,PHP,Perl,Apache,uPortal,Ruby等。

SSO 分为Web-SSO和桌面SSO。桌面 SSO 体现在操作系统级别上。Web-SSO体现在客户端，主要特点是： SSO 应用之间使用 Web 协议 ( 如 HTTPS) ，并且只有一个登录入口。我们所讲的SSO，指 Web SSO 。

CAS（Central Authentication Service），是耶鲁大学开发的单点登录系统（SSO，single sign-on），应用广泛，具有独立于平台的，易于理解，支持代理功能。CAS系统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。Spring Framework的Acegi安全系统支持CAS，并提供了易于使用的方案。Acegi安全系统，是一个用于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。它使用了Spring的方式提供了安全和认证安全服务，包括使用Bean Context，拦截器和面向接口的编程方式。因此，Acegi安全系统能够轻松地适用于复杂的安全需求。

目的：使用单点登录系统统一管理各子系统的用户登录登出，并提供一个统一的集成页面，方便用户在各系统之间的快速切换。

摘要：单点登录（SSO）的技术被越来越广泛地运用到各个领域的软件系统当中。本文从业务的角度分析了单点登录的需求和应用领域；从技术本身的角度分析了单点登录技术的内部机制和实现手段，并且给出Web-SSO和桌面SSO的实现、源代码和详细讲解；还从安全和性能的角度对现有的实现技术进行进一步分析，指出相应的风险和需要改进的方面。本文除了从多个方面和角度给出了对单点登录（SSO）的全面分析，还并且讨论了如何将现有的应用和SSO服务结合起来，能够帮助应用架构师和系统分析人员从本质上认识单点登录，从而更好地设计出符合需要的安全架构。

OAuth提供了一种client代表资源的拥有者访问server的方法，也就是在资源拥有者不向第三方提供证书（通常是指用户名和密码）的情况下，允许第三方使用用户代理重定向访问服务器上的资源。

单点登录系统（Signle Sign-On SSO），是指当用户访问多个需要认证的系统应用时，只需要初始进行一次登录和身份认证，就可以访问具有权限的任何系统，而不需要再次登录，后续系统会自动获取用户信息，从而识别出用户的身份。这样，无论用户要访问多少个应用，他只需要进行一次登录，而不需要用户重复输入认证信息。

CAS 在 Tomcat 中实现单点登录

Open Web SSO项目是SSO(单一登录)的一个开源实现。OpenSSO为部署在各种不同Web或应用服务器上的Web应用提供集中身份认证功能。

介绍1、CAS是Yale大学发起的一个开源项目，旨在为Web应用系统提供一种可靠的单点登录方法，CAS在2004年12月正式成为JA-SIG的一个项目。CAS具有以下特点：2、开源的企业级单点登录解决方案。3、CASServer为需要独立部署的Web应用。4、CASClient支持非常多的客户端(这里指单点登录系统中的各个Web应用)，包括Java,.Net,PHP,Perl,Apache,uPortal,Ruby等。

这里-alias sjc 是表示生成的这个证书的别名叫sjc，-keyalg RSA 指的是采用的RSA算法，-keystore c:/store/mykey是指生成的证书存储的位置。回车后会提示你输入keystore password，这可以自己定(这里输入sunjuncai,下面配tomcat时要用的)，然后是一些个人信息及组织信息，可以轻松搞定。

单点登录的英文名称为Single Sign-On，简写为SSO，它是一个用户认证的过程，允许用户一次性进行认证之后，就访问系统中不同的应用；而不需要访问每个应用时，都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。

SSO（Single Sign-On，单点登录）是身份管理中的一部分。SSO的一种较为通俗的定义是：SSO是指访问同一服务器不同应用中的受保护资源的同一用户，只需要登录一次，即通过一个应用中的安全验证后，再访问其他应用中的受保护资源时，不再需要重新登录验证。

SSO 分为Web-SSO和桌面SSO。桌面 SSO 体现在操作系统级别上。Web-SSO体现在客户端，主要特点是： SSO 应用之间使用 Web 协议 ( 如 HTTPS) ，并且只有一个登录入口。我们所讲的SSO，指 Web SSO 。

cas是有耶鲁大学研发的单点登录服务器。 证书对于实现此单点登录非常之重要，证书是服务器端和客户端安全通信的凭证，本教程只是演示，所有用了 JDK自带的证书生成工具keytool。当然在实际项目中你可以到专门的证书认证中心购买证书。

SSO（SingleSign-On）即所谓的单点登录。用户在一处登录后访问其他网站时不需要再次输入用户名和口令，即可完成身份验证。

OAuth（开放授权）是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。 OAuth允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站（例如，视频编辑网站)在特定的时段（例如，接下来的2小时内）内访问特定的资源（例如仅仅是某一相册中的视频）。这样，OAuth允许用户授权第三方网站访问他们存储在另外的服务提供者上的信息，而不需要分享他们的访问许可或他们数据的所有内容。

单点登录是必须的，实现方式颇多，这里就说使用CAS的实现方式。使用CAS实现SSO，网络上说明很多，大部分都是从制作证书开始，而实际上是可以不使用HTTPS验证，这样更方便。<br> 单点登录的原理是通过拦截你设定的URL，并跳转到你指定的CAS SERVER登录页，当你登录成功后，带着TICKET，返回到你打开的URL。然后你就可以一票在手，畅通无阻。

以下是CAS1.0和2.0协议的官方规范。 注：CAS1.0和2.0协议大体包含两个方面的内容：各种票根（Ticket）和暴露给CAS客户的HTTP（S）URL。这些UPL（/login、/logout、/validate、/serviceValidate、/proxy、/proxyValidate等）围绕着这些票根（ST、TGC、PGT、PT等）进行活动。在此期间服务和终端服务之间会进行多次HTTPS交互。

本文是CAS协议规范的中文译文。CAS1.0和2.0协议大体包含两个方面的内容：各种票根（Ticket）和暴露给CAS客户的HTTP（S）URL。这些UPL（/login、/logout、/validate、/serviceValidate、/proxy、/proxyValidate等）围绕着这些票根（ST、TGC、PGT、PT等）进行活动。在此期间服务和终端服务之间会进行多次HTTPS交互。