?? 單點登錄（Single Sign On），簡稱為 SSO，是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。

簡單的說，CAS（Central Authentication Service – 中心認證服務）的目的就是使分布在一個企業內部各個不同異構系統的認證工作集中在一起，通過一個公用的認證系統統一管理和驗證用戶的身份。在CAS上認證的用戶將獲得CAS頒發的一個證書，使用這個證書，用戶可以在承認CAS證書的各個系統上自由穿梭訪問，不需要再次的登錄認證。打個比方：對于加入歐盟的國家而言，在他們國家中的公民可以憑借著自己的身份證，在整個歐洲旅行，不用簽證。對于企業內部系統而言，CAS就是這個頒發歐盟認證的系統，其它系統都是加入歐盟的國家，它們要共同遵守和承認CAS的認證規則。

Weblogic使用Yale(耶魯)CAS實現SSO單點登錄+的方法

在門戶項目中，經常會遇到如何實現單點登錄的問題，下面就本人的經驗做個總結。歡迎大家進行補充討論。單點登錄的具體實現有很多種選擇，包括： 采用專門的SSO商業軟件： 主要有：Netgrity的Siteminder，已經被CA收購。Novell 公司的iChain。 RSA公司的ClearTrust等。

CAS1.0也稱為基礎模式　適用場合：參與SSO的應用都為Web應用，且各應用之間相互獨立，沒有復雜的集成關系。CAS2.0　CAS2.0稱為代理模式　適用場合：參與SSO的應用存在非Web應用（CAS使用Cookie，故非Web應用不宜于直接做CAS的客戶應用）應用之間，存在集成關系。CAS協議內容CAS協議定義了一組術語，一組票據，一組接口。

單點登錄的英文名稱為Single Sign-On，簡寫為SSO，它是一個用戶認證的過程，允許用戶一次性進行認證之后，就訪問系統中不同的應用；而不需要訪問每個應用時，都重新輸入密碼。IBM對SSO有一個形象的解釋“單點登錄、全網漫游”。 實現SSO的有兩大前提，分別是統一用戶管理和統一認證，其中統一用戶管理又是實現統一認證的基礎。

　　　實現一個易用的、能跨不同Web應用的單點登錄認證中心。 　　　實現統一的用戶身份和密鑰管理，減少多套密碼系統造成的管理成本和安全漏洞。 　　　降低認證模塊在IT系統設計中的耦合度，提供更好的SOA設計和更彈性的安全策略。

cas是個好東西，很靈活很好用，但是配置起來很麻煩，網上資料比較零碎。不弄個三五天根本不知道其中的原理，終于在多天的奮斗中配置成功，現在將配置的一些過程記錄下來供大家參考。

所謂單點登錄是指基于用戶/會話認證的一個過程，用戶只需一次性提供憑證（僅一次登錄），就可以訪問多個應用。 目前單點登錄主要基于Web的多種應用程序，即通過瀏覽器實現對多個B/S架構應用的統一賬戶認證。CAS是有耶魯大學研發的單點登錄服務器

單點登錄的英文名稱為Single Sign-On，簡寫為SSO，它是一個用戶認證的過程，允許用戶一次性進行認證之后，就訪問系統中不同的應用；而不需要訪問每個應用時，都重新輸入密碼。IBM對SSO有一個形象的解釋“單點登錄、全網漫游”。SSO將一個企業內部所有域中的用戶登錄和用戶帳號管理集中到一起，SSO的好處顯而易見：減少用戶在不同系統中登錄耗費的時間，減少用戶登錄出錯的可能性實現安全的同時避免了處理和保存多套系統用戶的認證信息減少了系統管理員增加、刪除用戶和修改用戶權限的時間增加了安全性：系統管理員有了更好的方法管理用戶，包括可以通過直接禁止和刪除用戶來取消該用戶對所有系統資源的訪問權限對于內部有多種應用系統的企業來說，單點登錄的效果是十分明顯的。

SSO英文全稱Single Sign On，單點登錄。SSO是在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。它包括可以將這次主要的登錄映射到其他應用中用于同一個用戶的登錄的機制。它是目前比較流行的企業業務整合的解決方案之一。SSO的一種較為通俗的定義是指訪問同一服務器不同應用中的受保護資源的同一用戶，只需要登錄一次，即通過一個應用中的安全驗證后，再訪問其他應用中的受保護資源時，不再需要重新登錄驗證。

Single Sign-On (SSO)是近來的熱門話題. 很多和我交往的客戶中都有不止一個運行在.Net框架中的Web應用程序或者若干子域名.而他們甚至希望在不同的域名中也可以只登陸一次就可以暢游所有站點.今天我們關注的是如何在各種不同的應用場景中實現 SSO. 我們由簡到繁,逐一攻破.

Oauth授權機制OAuth是什么OAuth認證授權具有哪些特點OAuth的原理認證流程OAUth的訪問資源流程實例淺說關聯成功OAuth是什么Oauth是使網站和應用程序（統稱為消費方）能夠在無須用戶透露其認證證書的情況下，通過API訪問某個web服務（統稱為服務提供方）的受保護資源OAuth認證授權具有哪些特點簡單：不管是OAuth服務提供者還是應用開發者，都很容易于理解與使用安全：沒有涉及到用戶密鑰等信息，更安全更靈活開放：任何服務提供商都可以實現OAuth，任何軟件開發商都可以使用OAuthOAuth的原理認證流程之qq微博OAuth的原理認證流程之sina微博微博API受訪資源的流程獲取未授權的RequestToken請求用戶授權RequestToken使用授權后的RequestToken換取AccessToken使用AccessToken訪問或修改受保護資源我方實例實現流程用戶是否登入我方網站判斷用戶是否授權獲取未授權的requsttoken請求用戶授權requesttoken使用授權后的requesttoken換取accesstoken保存在我方的可控的文件中關聯成功發送微博后續我們談的是OAuth1.0下次在深討（OAuth2.0）遇到的問題1.應用審核2.授權失敗原因及解決方案

OAuth1.0認證流程OAuth：OAuth(開放授權)為用戶資源的授權定義了一個安全、開放及簡單的標準，第三方無需使用用戶的賬號、密碼，就能獲取到用戶信息，并且它是安全的。

CAS單點登錄服務器的部署以及使用。準備CAS服務器端和客戶端Windows下cas服務器端壓縮包cas-server-3.4.12-release.zipcas客戶端壓縮包。

第一次用戶訪問接入系統時，客戶端過濾器過濾請求，試圖從請求獲取ST ID和session中Assertion。由于是第一次訪問，客戶端的過濾器獲取不到它們的值，所以把請求【/login】重定向到uas服務器，uas服務器從客戶端獲取TGT ID，此時TGT ID 為空，uas服務器返回登錄頁面，要求用戶重新認證。用戶輸入正確的用戶和密碼，uas服務器產一個TGT，并把該TGT存在uas服務器本地的cache中以及cookie中；同時uas服務器也產生一個ST，把ST 存入uas服務器本地的cache中。把ST通過報文的形式返回給客戶端。客戶解析報文、獲取ST，并向給UAS服務器發送請求，要求UAS服務器認證ST。UAS服務器處理該請求，驗證ST的有效性。ST驗證成功，則UAS服務器獲取用戶在該接入系統的信息，把該信息封裝成一個對象Assertion，并把該Assertion對象通過報文發送給客戶端，客戶端解析報文獲得Assertion對象，把Assertion對象包裝在request和session中。此后接入系統從request中獲取Assertion對象，從而獲得用戶相關信息，因此用戶成功訪問接入系統。

CAS Proxy的目的是，當瀏覽器用戶Peter訪問應用A，應用A引用了應用B1, B2的授權性資源(Authorized Resource)，應用A想代表Peter去訪問應用B1, B2，因此應用A需要告訴應用B1, B2當前用戶是誰，以便B1,B2對Peter的Request進行授權。這就是CAS代理(Proxy)。

記錄使用CAS實現SSO的過程。單點登錄是必須的，實現方式頗多，這里就說使用CAS的實現方式。使用CAS實現SSO，網絡上說明很多，大部分都是從制作證書開始，而實際上是可以不使用HTTPS驗證，這樣更方便。 單點登錄的原理是通過攔截你設定的URL，并跳轉到你指定的CAS SERVER登錄頁，當你登錄成功后，帶著TICKET，返回到你打開的URL。然后你就可以一票在手，暢通無阻。 網上有個家伙用旅游的套票來解釋單點登錄，非常形象。當你到達一個旅游區門口，你可以買一個套票，套票規定你可以游覽N個景點，進入這些景點的時候，你不需要再買票，也就實現了單點登錄。

SOA:Service Oriented Architecture,面向服務的架構,或者說，以服務為基礎搭建的企業IT架構.SOA的服務的理念思想,本質上是一種業務和技術完全分離,業務和技術又能自由組合的思想.它達到了目前軟件設計思想的最高境界.SOA的出現,預示著一個以服務為導向的新的IT時代的到來.IT的本質IT:InformationTechnology,信息技術,是為企業需要而出現的.

CAS協議分析CAS1.0vs.CAS2.0CAS1.0　CAS1.0也稱為基礎模式　適用場合：參與SSO的應用都為Web應用，且各應用之間相互獨立，沒有復雜的集成關系。CAS2.0　CAS2.0稱為代理模式　適用場合：參與SSO的應用存在非Web應用（CAS使用Cookie，故非Web應用不宜于直接做CAS的客戶應用）應用之間，存在集成關系。CAS協議內容CAS協議定義了一組術語，一組票據，一組接口。