CAS之SSO配置手册.docx

《CAS之SSO配置手册》 CAS（Central Authentication Service）是一种广泛应用的开源单点登录（Single Sign-On，SSO）解决方案，由耶鲁大学发起，后来成为JA-SIG项目的一部分。它为企业级Web应用提供了安全可靠的认证服务。本文将详细介绍CAS的原理、协议以及服务端配置，帮助读者理解并实现CAS SSO系统的搭建。 1. CAS简介 CAS是一款开源的SSO系统，主要功能是为Web应用提供集中式的用户认证。CAS Server作为认证中心独立部署，处理所有用户的登录验证。而CAS Client则分布在各个需要保护的Web应用中，负责检测用户访问权限并重定向至CAS Server进行登录。CAS支持多种客户端平台，如Java、.Net、PHP、Perl、Apache、uPortal、Ruby等，具有广泛的适应性。 2. CAS原理与协议 CAS协议的核心在于用户只需一次登录，即可访问所有集成的Web应用。其流程如下： 1）用户尝试访问受保护资源。 2）CAS Client检测到未登录状态，将请求重定向至CAS Server。 3）用户在CAS Server上输入认证信息。 4）如果认证成功，CAS Server生成Service Ticket并缓存，同时设置Ticket Granted Cookie（TGC）。 5）用户被重定向回原始请求的Service，携带Service Ticket。 6）CAS Client验证Service Ticket的合法性，确认用户身份。 整个过程中，通信通过SSL协议保证安全，用户只需参与首次登录，后续访问由CAS Client与Server之间的交互完成，透明化用户体验。 3. CAS服务端配置 配置CAS Server主要包括以下步骤： 1）环境准备：确保JDK 1.6及Tomcat 6.0.14已安装。 2）部署CAS Server：将cas-server-3.4.2的war文件复制到Tomcat的webapps目录下，启动Tomcat。 3）配置数据源：在deployerConfigContext.xml中添加数据库连接配置，例如Oracle数据库，如下所示： ```xml <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource"> <property name="driverClassName"><value>oracle.jdbc.driver.OracleDriver</value></property> <property name="url"><value>jdbc:oracle:thin:@localhost:1521:orcl</value></property> <property name="username"><value>aip</value></property> <property name="password"><value>aip</value></property> </bean> ``` 4）配置验证方式：默认的验证方式可能是基于内存的，需要修改为数据库验证。在deployerConfigContext.xml中注释掉原有验证处理器，启用数据库查询验证，例如： ```xml <bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"> <property name="sql" value="select password from app_user where username=?" /> <!-- 添加其他相关属性配置 --> </bean> ``` 重新启动Tomcat后，CAS Server将通过配置的数据库验证用户身份。此外，CAS还支持其他验证方法，如简单的用户名和密码验证、LDAP验证等。 总结，CAS提供了一种强大且灵活的SSO解决方案，通过集中化的认证服务简化了用户登录流程，增强了Web应用的安全性。配置CAS Server涉及环境搭建、数据源配置以及验证方式的选择，根据实际需求进行定制。了解并掌握这些知识，将有助于构建高效、安全的多应用访问环境。