cas.rar_CAS_单点登录资源-CSDN文库

共1个文件

docx：1个

版权申诉

cas

单点登录

120 浏览量 2022-09-14 22:08:44 上传评论收藏 315KB RAR 举报

资源推荐

资源详情

资源评论

收起资源包目录

cas.rar （1个子文件）

cas.docx 388KB

CAS 单点登录指导文档

1.概述

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案

之一。SSO 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应

用系统。

耶鲁大学（yale）开发的单点登录（Single Sign On）系统称为 CAS（Central Authentication

Service）被设计成一个独立的 Web 应用程序(cas.war)。

CAS 在 2004 年 12 月成为 Jasig 项目，所以也叫 JA-SIG CAS。

本文中服务器版本基于 4.0.0 版本，对应的客户端版本为 3.2.1；

官网：http://jasig.github.io/cas/4.0.0/index.html

2. CAS 原理和协议

从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需

要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护

资源的访问请求，需要登录时，重定向到 CAS Server。图 1 是 CAS 最基本的协议

过程：

图 1. CAS 基础协议

CAS Client 与受保护的客户端应用部署在一起，以 Filter 方式保护受保护的资源。对于访

问受保护资源的每个 Web 请求，CAS Client 会分析该请求的 Http 请求中是否包含

Service Ticket，如果没有，则说明当前用户尚未登录，于是将请求重定向到指定好的 CAS

Server 登录地址，并传递 Service （也就是要访问的目的资源地址），以便登录成功过后

转回该地址。用户在第 3 步中输入认证信息，如果登录成功，CAS Server 随机产生一个相

当长度、唯一、不可伪造的 Service Ticket，并缓存以待将来验证，之后系统自动重定向到

Service 所在地址，并为客户端浏览器设置一个 Ticket Granted Cookie（TGC），CAS

Client 在拿到 Service 和新产生的 Ticket 过后，在第 5，6 步中与 CAS Server 进行身

份合适，以确保 Service Ticket 的合法性。

在该协议中，所有与 CAS 的交互均采用 SSL 协议，确保，ST 和 TGC 的安全性。协议工作

过程中会有 2 次重定向的过程，但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程

对于用户是透明的。

另外，CAS 协议中还提供了 Proxy （代理）模式，以适应更加高级、复杂的应用场景，具体

介绍可以参考 CAS 官方网站上的相关文档。

3.环境

.Tomcat 7.x 本文中安装目录为: D:\apache-tomcat-7.0.54

.JDK 7 本文中安装目录为: D:\Java\jdk1.7.0_60

. CAS Server 版本: cas-server-4.0.0

.CAS Client 版本: cas-client-3.2.1

4.配置证书

证书是单点登录认证系统中很重要的一把钥匙，客户端于服务器的交互安全靠的就是证

书；本教程由于是演示所以就自己用 JDK 自带的 keytool 工具生成证书；如果以后真正在产

品环境中使用肯定要去证书提供商去购买，证书认证一般都是由 VeriSign 认证，中文官方网

站：http://www.verisign.com/cn/。

也可以申请免费的 StartSSL CA 证书: StartSSL(公司名：StartCom)也是一家 CA 机构，它的

根证书很久之前就被一些具有开源背景的浏览器支持(Firefox 浏览器、谷歌 Chrome 浏览器、

苹果 Safari 浏览器等 ) 。申请地址： http://www.startssl.com 申请方法参考：

http://www.linuxidc.com/Linux/2011-11/47478.htm

1> 创建证书

首先创建文件夹：D:/cas/keys 用于存放相关的证书文件。

然后打开 windows 命令控制台：（开始 --> cmd ->回车）

切换到 JDK 安装目录中 Key: D:\Java\jdk1.7.0_60\jre\bin

输入以下命令：

keytool -genkey -alias mycas -keyalg RSA -keysize 2048 -keystore d:/cas/keys/mycas.keystore

接下来会有提示如图 2：

图 2. 创建证书：

此步完成后可在 D:/cas/keys 文件夹下找到 mycas.keystore 文件

2>导出证书

输入命令：

keytool -export -file d:/cas/keys/mycas.crt -alias mycas -keystore d:/cas/keys/mycas.keystore

此步完成后可在 D:/cas/keys 文件夹下找到 mycas.crt 文件

3>客户端 JVM 导入证书

在客户端的 JDK 安装目录下输入命令：

keytool -import -keystore d:\Java\jdk1.7.0_60\jre\lib\security\cacerts -file d:/cas/keys/mycas.crt

-alias mycas

其中：d:\Java\jdk1.7.0_60\jre\lib\security\cacerts 为客户端 JVM 的密钥库位置

如果提示：

keytool error: java.io.IOException: Keystore was tampered with, or password was incorrect

那么输入密码：changeit

这是因为 JDK 安装后会默认创建一个密钥库，密码为：changeit

也可以删除 d:\Java\jdk1.7.0_60\jre\lib\security\cacerts 在输入上述命令，如图 3

图 3. 导入证书：

4>将证书应用到 tomcat

打开 tomcat 目录的 conf/server.xml 文件，8443 端处，并设置 keystoreFile、keystorePass

修改结果如下：

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS"

keystoreFile="D:/cas/keys/mycas.keystore"

keystorePass="生成 KEY 的密码"

参数说明：keystoreFile：在第一步创建的 key 存放位置 keystorePass：创建证书时的密

码。

打开 https://localhost:8443/，可以测试，如图 4：

图 4，测试证书

评论收藏

内容反馈

版权申诉

weixin_42653672

粉丝: 93
资源: 1万+

cas.rar_CAS_单点登录

最新资源