LDAP：（輕量級目錄訪問協議，Lightweight Directory Access Protocol） 它是基于 X.500標準的，但是簡單多了并且可以根據需要定制。與X.500不同，LDAP支持TCP/IP，這對訪問Internet是必須的。

編寫目的：為了單點登錄系統(SSO系統)的可行性，完整性，并能按照預期的設想實現該系統，特編寫需求說明書。同時，說明書也發揮與策劃和設計人員更好地溝通的作用。

OAuth（開放授權）是一個開放標準，允許用戶讓第三方應用訪問該用戶在某一網站上存儲的私密的資源（如照片，視頻，聯系人列表），而無需將用戶名和密碼提供給第三方應用。 OAuth允許用戶提供一個令牌，而不是用戶名和密碼來訪問他們存放在特定服務提供者的數據。每一個令牌授權一個特定的網站（例如，視頻編輯網站)在特定的時段（例如，接下來的2小時內）內訪問特定的資源（例如僅僅是某一相冊中的視頻）。這樣，OAuth允許用戶授權第三方網站訪問他們存儲在另外的服務提供者上的信息，而不需要分享他們的訪問許可或他們數據的所有內容。

背景知識，OAuth2.0很可能是下一代的“用戶驗證和授權”標準，目前在國內還沒有很靠譜的技術資料。為了弘揚“開放精神”，讓業內的人更容易理解“開放平臺”相關技術，進而長遠地促進國內開放平臺領域的發展，筆者特意將OAuth2.0協議翻譯成中文。目前OAuth2.0還沒有最后定稿，最新的修改版是第11個版本，本文下面的翻譯即基于這個第11版本。

一，SSO技術簡介：?SSO（Single Sign-On，單點登錄）是身份管理中的一部分。SSO的一種較為通俗的定義是：SSO是指訪問同一服務器不同應用中的受保護資源的同一用戶，只需要登錄一次，即通過一個應用中的安全驗證后，再訪問其他應用中的受保護資源時，不再需要重新登錄驗證。

Single Sign-On (SSO)是近來的熱門話題. 很多和我交往的客戶中都有不止一個運行在.Net框架中的Web應用程序或者若干子域名.而他們甚至希望在不同的域名中也可以只登陸一次就可以暢游所有站點.今天我們關注的是如何在各種不同的應用場景中實現 SSO. 我們由簡到繁,逐一攻破

2011年08月中國科學院自動化研究所單點登錄（SSO）調研報告。內容提要：企業信息系統現狀企業信息系統集成什么是SSOSSO技術實現機制SSO需要實現的功能SSO體系中的角色SSO單點登錄的好處現有SSO解決方案CAS簡介CAS構成與協議CAS基礎協議CAS應用實例-證書CAS應用實例-CAS服務器配置CAS應用實例-CAS客戶端配置CAS默認登錄頁面美化登錄頁面范例1美化登錄頁面范。

當一個web瀏覽器登錄到應用服務器時，應用服務器(application)會檢測用戶的session，如果沒有session，則應用服務器會把url跳轉到CAS server上，要求用戶登錄,用戶登錄成功后，CAS server會記請求的application的url和該用戶的sessionId(在應用服務器跳轉url時，通過參數傳給CAS server)。此時在CAS服務器會種下TGC Cookie值到webbrowser.擁有該TGC Cookie的webbrowser可以無需登錄進入所有建立sso服務的應用服務器application。

戶管理用戶管理包含對用戶的新增，用戶信息的查詢修改及刪除，排序等功能，同時將相關用戶信息的操作同步到LDAP數據庫中。新增用戶：錄入用用戶基本信息及用戶對應組織關系，用戶關鍵信息不能重復。修改用戶：修改用戶基本信息及用戶對應組織關系，用戶登錄帳號無法修改刪除用戶：分為完全刪除用戶信息及對應關系和有效模式兩種，可選狀態為禁用，啟用。查詢用戶：根據用戶關鍵信息進行查詢。排序：對同一組織下的一組用戶的顯示隊列進行排序。

單點登錄的英文名稱為Single Sign-On，簡寫為SSO，它是一個用戶認證的過程，允許用戶一次性進行認證之后，就訪問系統中不同的應用；而不需要訪問每個應用時，都重新輸入密碼。IBM對SSO有一個形象的解釋“單點登錄、全網漫游”。

除了最簡單的解決方案以外，企業服務總線是所有基于面向服務的體系結構解決方案的核心組成部分。那么ESB究竟是什么呢？您可以在整個IT行業中找到許多定義。本文章從IBM的角度（或者更準確地說，是在IBMSOAFoundation的上下文中）定義企業服務總線。本文章用抽象的術語討論ESB并避免討論產品細節；也就是說，本系列不討論IBMWedSphereESB產品或ESB模式的任何其他實例。這種與產品無關的方法可以提供一個廣泛的基礎，以便了解ESB為面向服務的解決方案帶來了什么，以及評估作為此類解決方案組成部分的特定ESB產品和相關技術。

單點登錄（Single sign on），簡稱SSO，是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個系統中，用戶只需要登錄一次就可以在各各相互信任的系統中進行切換。 本文主要介紹它的簡單部署及應用。

當“基于供應鏈管理應用”在家用電子產品零售商和制造商中部署之后，收到了非常好的效果。由于采用了Web服務技術作為應用集成交互技術，各個企業實體都能自行選擇平臺，自行開發實施系統，并且只需要遵循事先商定的Web服務接口就可以彼此無縫連接。各個企業實體開始使用Web服務技術改造內部的舊有信息系統以實現企業內部、企業之間的廣泛應用互聯。然而此時，企業又發現了一個使用上的障礙。

單點登錄（Single Sign On , 簡稱 SSO ）是目前比較流行的服務于企業業務整合的解決方案之一， SSO 使得在多個應用系統中，用戶只需要登錄一次就可以訪問所有相互信任的應用系統。CAS(Central Authentication Service)是一款不錯的針對 Web 應用的單點登錄框架。 本文介紹了 CAS 的原理、協議、以及配合Spring-Security在 Tomcat 中的配置和使用。

了解CAS的設計背景和思想以及CAS-Server提供的三個驗證服務接口（web服務URL），和重定向的一些概念。同時分析CAS的業務流程，為下面的業務實現打下理論基礎。簡單的說，CAS（Central Authentication Service – 中心認證服務）的目的就是使分布在一個企業內部各個不同異構系統的認證工作集中在一起，通過一個公用的認證系統統一管理和驗證用戶的身份。在CAS上認證的用戶將獲得CAS頒發的一個證書，使用這個證書，用戶可以在承認CAS證書的各個系統上自由穿梭訪問，不需要再次的登錄認證。打個比方：對于加入歐盟的國家而言，在他們國家中的公民可以憑借著自己的身份證，在整個歐洲旅行，不用簽證。對于企業內部系統而言，CAS就是這個頒發歐盟認證的系統，其它系統都是加入歐盟的國家，它們要共同遵守和承認CAS的認證規則。

SSO 是一個非常大的主題，我對這個主題有著深深的感受，自從廣州 UserGroup 的論壇成立以來，無數網友都在嘗試使用開源的 CAS ， Kerberos 也提供另外一種方式的 SSO ，即基于 Windows 域的 SSO ，還有就是從 2005 年開始一直興旺不衰的 SAML 。

單點登錄是必須的，實現方式頗多，這里就說使用CAS的實現方式。使用CAS實現SSO，網絡上說明很多，大部分都是從制作證書開始，而實際上是可以不使用HTTPS驗證，這樣更方便。單點登錄的原理是通過攔截你設定的URL，并跳轉到你指定的CAS SERVER登錄頁，當你登錄成功后，帶著TICKET，返回到你打開的URL。然后你就可以一票在手，暢通無阻。