当前位置：首页> SSO_CAS

SSO_CAS

时间：2023-03-11 11:12:48 下载该word文档

SSO是一个非常大的主题，我对这个主题有着深深的感受，自从广州UserGroup的论坛成立以来，无数网友都在尝试使用开源的CAS，Kerberos也提供另外一种方式的SSO，即基于Windows域的SSO，还有就是从2005年开始一直兴旺不衰的SAML。
如果将这些免费的SSO解决方案与商业的Tivoli或Siteminder或RSASecureSSO产品做对比，差距是存在的。毕竟，商业产品的安全性和用户体验都是无与伦比的，我们现在提到的SSO，仅仅是WebSSO，即Web-SSO是体现在客户端；另外一种SSO是桌面SSO，例如，只需要作为Administrator登录一次windows2000，我便能够在使用MSN/QQ的时候免去登录的环节(注意，这不是用客户端软件的密码记忆功能，是一种代理用户输入密码的功能。因此，桌面SSO是体现在OS级别上。
今天，当我们提起SSO的时候，我们通常是指WebSSO，它的主要特点是，SSO应用之间走Web协议(如HTTP/SSL，并且SSO都只有一个登录入口。
简单的SSO的体系中，会有下面三种角色：1，User（多个）2，Web应用（多个）3，SSO认证中心（1个）
虽然SSO实现模式千奇百怪，但万变不离其宗：
Web应用不处理User的登录，否则就是多点登陆了，所有的登录都在SSO认证中心进行。SSO认证中心通过一些方法来告诉Web应用当前访问用户究竟是不是张三/李四。
SSO认证中心和所有的Web应用建立一种信任关系，SSO认证中心对用户身份正确性的判断会通过某种方法告之Web应用，而且判断结果必须被Web应用信任。

2.CAS的基本原理
CAS(CentralAuthenticationService是Yale大学发起的一个开源项目，据统计，大概每10个采用开源构建WebSSO的Java项目，就有8个使用CAS。对这些统计，我虽然不以为然，但有一点可以肯定的是，CAS是我认为最简单实效，而且足够安全的SSO选择。
本节主要分析CAS的安全性，以及为什么CAS被这样设计，带着少许密码学的基础知识，我希望有助于读者对CAS的协议有更深层次的理解。
2.1CAS的结构体系
从结构体系看，CAS包含两部分：CASServer
CASServer负责完成对用户的认证工作，CASServer需要独立部署，有不止一种CASServer的实现，YaleCASServer和ESUPCASServer都是很不错的选择。
CASServer会处理用户名/密码等凭证(Credentials，它可能会到数据库检索一条用户帐号信息，也可能在XML文件中检索用户密码，对这种方式，CAS均提供一种灵活但同一的接口/实现分离的方式，CAS究竟是用何种认证方式，跟CAS协议是分离的，也就是，这个认证的实现细节可以自己定制和扩展。CASClient
CASClient负责部署在客户端（注意，我是指Web应用），原则上，CASClient的部署意味着，当有对本地Web应用的受保护资源的访问请求，并且需要对请求方进行身份认证，Web应用不再接受任何的用户名密码等类似的Credentials，而是重定向到CASServer进行认证。

阅读全文