上几篇博客介绍了使用cookie实现同域和跨域系统的单点登录,本文将介绍通过CAS实现单点登录实例。
CAS是由耶鲁大学研发的单点登录服务器,主要分为服务端和客户端两个系统模块;本文将通过官网提供的实例进行介绍。
一、CAS实现SSO的原理与认证流程
使用CAS实现SSO的原理实际跟生成cookie进行认证一样,不过CAS将这个认证cookie称之为Ticket。
认证流程如下:
1、浏览器发出用户请求到客户端程序(例如上文中的www.a.com,www.b.com属于两个客户端程序)。
2、客户端验证:客户端会在本地验证是否有该请求对应的Ticket信息,如果没有,表示该用户尚未登陆,重定向到CAS服务器,服务器负责生成一个用户Ticket,返回给客户端。
3、 客户端再将浏览器发来的用户请求与服务器返回的Ticket验证,有效则返回客户端指定页面。客户端将该Ticket保存,以备下一个用户请求进行验证。
CAS客户端的Ticket实际就是CAS服务端返回的凭证cookie。
二、CAS实现单点登录
1、建立三个域名指向本地IP
两个客户端:127.0.0.1 www.a.com 、127.0.0.1 www.b.com
一个服务端:127.0.0.1 www.server.com
2、下载CAS相关jar包
CAS-server3.xx.zip CAS-client.zip
3、CAS服务端配置
解压CAS-server.zip,并从中找到服务器端war文件,发布到应用服务器tomcat中,并配置tomcat server.xml文件添加<Host name=“www.server.com” appBase=”server”>;启动tomcat,输入 http://www.server.com ,CAS界面正常显示。
4、CAS客户端配置
1)直接下载官网提供的实例,将webapp解压到tomcat/bbs/ROOT目录下和tomcat/news/ROOT目录;作为两个客户端程序。
【CAS客户端依赖于CAS-client-core和commons-logging两个jar,位于在client压缩包的module文件夹中】
2)修改客户端web.xml中filter的地址,启动tomcat后,客户端即可正常运行。
三、CAS源码思路
通过配置我们不难发现,CAS的实现思路与上一篇博文实现SSO的思路基本一致:
-
服务端代码负责生成Ticket并用一个map结构维护这些Ticket。也就是SSO体系结构中的“认证中心”。同时也负责与数据库的交互。
-
客户端编写验证代码,主要负责认证和核对Ticket,也就是web.xml中两个核心拦截器用于拦截客户端请求。分别用于重定向和接收服务器发送的Ticket。
-
CAS的服务器端程序由spring+Spring web flow写成的。全部使用spring配置文件。
四、CAS同类产品
单点登录的具体实现有很多种选择,包括:
1、采用专门的SSO商业软件: 主要有:Netgrity的Siteminder,已经被CA收购。Novell 公司的iChain。RSA公司的ClearTrust等。
2、采用门户产品供应商自己的SSO产品,如:BEA的WLES,IBM 的Tivoli Access Manager,Sun 公司的identity Server,Oracle公司的OID等。
3、这些商业软件一般适用于客户对SSO的需求很高,并且企业内部采用COTS软件如:Domino,SAP,Sieble的系统比较多的情况下采用。并结合身份管理。统一认证等项目采用。采用这些软件一般都要对要集成的系统做些改造,如在要集成的系统上安装AGENT。现在一般只提供常见软件如:Domino,SAP,Sieble,常见应用服务器:weblogic,websphere等的AGENT。要先统一这些系统的认证。一般采用LDAP或数据库。然后才能实现SSO。比较麻烦。
4、开源类产品主要有:
JOSSO:http://www.josso.org/
OPENSSO: https://opensso.dev.java.net/
