CAS_SSO单点登录实例详细步骤

CAS SSO单点登录实例详细步骤 原创作者：孙俊财

第一步 1、用keytool生成证书： 命令： keytool -genkey -alias sjc -keyalg RSA -keysto re c:/store/mykey 说明: 这里-alias sjc 是表示生成的这个证书的别名叫sjc，-keyalg RSA 指的是采用的RSA算法，-keystore c:/store/mykey是指生成的证书存储的位置。回车后会提示你输入keystore password，这可以自己定(这里输入sunjuncai,下面配tomcat时要用的)，然后是一些个人信息及组织信息，可以轻松搞定。 注意：密码输入后，会让你输入其他信息，记得这里第一个姓名必须是服务器的域名这里我输入的是完整计算机名称：gaofeng.nmc.hamcc 这里要注意如果不这样写就会报如下异常： java.io.IOException: HTTPS hostname wrong: should be 实战: C:\Documents and Settings\wangyoushi8>keytool -genkey -alias sjc -keyalg RSA -keystore c:/store/mykey 输入keystore密码：sunjuncai

您的名字与姓氏是什么？ [Unknown]：gaofeng.nmc.hamcc 您的组织单位名称是什么？ [Unknown]：上海神洲数港 您的组织名称是什么？ [Unknown]：网络优化 您所在的城市或区域名称是什么？ [Unknown]：郑州 您所在的州或省份名称是什么？ [Unknown]：河南 该单位的两字母国家代码是什么 [Unknown]：ZH CN= gaofeng.nmc.hamcc, OU=上海神洲数港, O=网络优化, L=郑州, ST=河南, C=ZH 正确吗？ [否]：y 输入的主密码 （如果和keystore 密码相同，按回车）： 2、创建证书后，就导出证书: 命令： keytool -export -file c:/store/server.crt -alias sjc -keystore c:/store/mykey 说明: 从c:/store/mykey里取出证书入到c:/store/下,如果没有指定，就是存放在目录下C:\Documents and Settings\用户目录名\ 实战： C:\Documents and Settings\wangyoushi8>keytool -export -file c:/store/server.crt -alias sjc -keystore C:/store/mykey 输入keystore密码：sunjuncai 保存在文件中的认证 3、为客户端的JVM导入密钥: 命令： keytool -import -keystore D:/jdk1.5.0_12/jre/lib/security/cacerts -file c:/store/server.crt -alias sjc 说明： 注意：输入密码时密码为"changeit"，这是默认密码. 特别说明：这个D:/jdk1.5.0_12/jre/lib/security/cacerts是指JDK的JRE路径下的lib目录. 至此，第一步完成。 实战： C:\Documents and Settings\wangyoushi8> keytool -import -keystore D:/jdk1.5.0_12/jre/lib/security/cacerts -file c:/store/server.crt -alias sjc 输入keystore密码：changeit

统一认证系统_设计方案

基础支撑平台

第一章统一身份认证平台 一、概述 建设方案单点登录系统采用基于Liberty规范的单点登录ID-SSO系统平台实现，为数字化校园平台用户提供安全的一站式登录认证服务。为平台用户以下主要功能： 为平台用户提供“一点认证，全网通行”和“一点退出，整体退出”的安全一站式登录方便快捷的服务，同时不影响平台用户正常业务系统使用。用户一次性身份认证之后，就可以享受所有授权范围内的服务，包括无缝的身份联盟、自动跨域、跨系统访问、整体退出等。 提供多种以及多级别的认证方式，包括支持用户名/密码认证、数字证书认证、动态口令认证等等，并且通过系统标准的可扩展认证接口（如支持JAAS），可以方便灵活地扩展以支持第三方认证，包括有登录界面的第三方认证，和无登录界面的第三方认证。 系统遵循自由联盟规范的Liberty Alliance Web-Based Authentication 标准和OASIS SAML规则，系统优点在于让高校不用淘汰现有的系统，无须进行用户信息数据大集中，便能够与其无缝集成，实现单点登录从而建立一个联盟化的网络，并且具有与未来的系统的高兼容性和互操作性，为信息化平台用户带来更加方便、稳定、安全与灵活的网络环境。 单点登录场景如下图所示：

一次登录认证、自由访问授权范围内的服务 单点登录的应用，减轻了用户记住各种账号和密码的负担。通过单点登录，用户可以跨域访问各种授权的资源，为用户提供更有效的、更友好的服务；一次性认证减少了用户认证信息网络传输的频率，降低了被盗的可能性，提高了系统的整体安全性。 同时，基于联盟化单点登录系统具有标准化、开放性、良好的扩展性等优点，部署方便快捷。 二、系统技术规范 单点登录平台是基于国际联盟Liberty规范（简称“LA”）的联盟化单点登录统一认证平台。 Liberty规范是国际170多家政府结构、IT公司、大学组成的国际联盟组织针对Web 单点登录的问题提供了一套公开的、统一的身份联盟框架，为客户释放了使用专用系统、不兼容而且不向后兼容的协议的包袱。通过使用统一而又公开的 Liberty 规范，客户不再需要为部署多种专用系统和支持多种协议的集成复杂度和高成本而伤脑筋。 Liberty规范的联盟化单点登录SSO（Single Sign On）系统有以下特点： (1). 可以将现有的多种Web应用系统联盟起来，同时保障系统的独立性，提供单点 登录服务；

简单的单点登录实现过程及效果展示

一、实现过程 从用到的jar包文件夹的cas-server-3.3.1modules中找出cas.war放到tomcat/webapps下面(cas-server-webapp-3.3.1.war重命名即可)。 现在cas默认的server端已经有了，下面自己写2个客户端测试一下 MyEclipse里面新建web project:sso 新建类HelloWorldExample package servlet; import java.io.IOException; import java.io.PrintWriter; import java.util.Enumeration; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public final class HelloWorldExample extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException { response.setContentType("text/html");

PrintWriter writer = response.getWriter(); writer.println(""); writer.println(""); writer.println(""); writer.println(""); writer.println(""); writer.println("

"); writer.println(""); writer.println("

"); writer.println(" Sample Application Servlet "); writer.println("This is the output of a servlet that is part of"); writer.println("the Hello, World application."); writer.println("

单点登录技术方案

xxxx集团 单点登录技术方案

目录 1. xxxx集团系统建设现状 (4) 1.1. Web应用系统 (4) 1.2. C/S应用系统 (4) 1.3. SSL VPN系统 (4) 2. xxxx集团单点登录系统需求 (5) 2.1. 一站式登录需求 (5) 3. SSO（单点登录）技术简介 (6) 3.1. 修改应用程序SSO方案 (6) 3.2. 即插即用SSO方案 (7) 3.3. 两种SSO方案比较 (7) 3.4. 惠普SSO (7) 3.4.1. 惠普SSO开发背景 (7) 3.4.2. 惠普SSO的功能 (8) 3.4.3. 惠普SSO的特点 (9) 3.4.4. 惠普SSO结构 (10) 4. xxxx集团单点登录技术方案 (11) 4.1. 应用系统中部署惠普SSO单点登录 (11) 4.1.1. 解决全局的单点登录 (12) 4.1.2. 应用系统的整合 (12) 4.1.3. 用户如何过渡到使用单点登录 (13) 4.1.4. 管理员部署业务系统单点登录功能 (14) 4.1.5. 建立高扩展、高容错单点登录环境 (15) 4.1.6. 建立稳定、安全、高速网络环境 (15) 4.2. 定制工作 (16) 4.2.1. SSL VPN结合 (16)

4.2.2. 密码同步 (16) 5. 项目实施进度 (17) 5.1. 基本安装配置 (17) 5.2. 配置认证脚本 (17) 5.3. 总体进度 (17) 6. 硬件清单 (19) 7. 软件清单 (20)

1.xxxx集团系统建设现状 xxxx集团有限责任公司（以下简称集团公司）管理和运营省内11个民用机场，以及20多个关联企业（全资子公司、控股企业、参股企业）。现有的信息系统主要有生产运营系统和管理信息系统，其中生产运营系统包括机场生产运营管理系统、中小机场生产运营管理系统、离港系统、航显系统、广播系统、安检信息管理系统、控制区证件管理系统等，管理信息系统主要有财务系统、OA 系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统、视频点播系统等。这些信息系统的用户包括集团公司所有机场以及关联企业。 各信息系统都有独立的用户组织体系，采用“用户名+密码”的方式来实现身份认证和授权访问。从而与众多企业一样存在如下一些主要问题：1、终端用户需要记住多个用户名和密码；2、终端用户需要登录不同的信息系统以获取信息；3、系统管理员难以应付对用户的管理；4、难以实施系统使用安全方面的管理措施。 1.1.Web应用系统 xxxx集团现有的Web应用系统包括：办公自动化系统（OA）、邮件系统、资产管理系统、内部网站信息发布审批系统、决策支持系统、视频点播系统等。这些系统基本上是各自独立开发的、或者购买的商业软件。每个应用系统都有自己的用户管理机制和用户认证机制，彼此独立。每个应用系统用户名、口令可能各不相同。 1.2.C/S应用系统 xxxx集团目前的C/S应用只有一个：财务系统，金蝶K3财务系统。 1.3.SSL VPN系统 xxxx集团有一套SSL VPN系统，集团局域网之外的用户（包括各地州机场、部分关联企业、用户自己家住房、出差旅馆、无线上网等）是通过SSL VPN 系统进入集团局域网的，通过SSL VPN系统进入集团局域网访问的系统包括：OA系统、邮件系统、资产管理系统、决策支持系统、网站信息发布审批系统及内部网站等。用户经过SSL VPN系统进入集团局域网需要经过身份认证。

CAS单点登录配置全过程

CAS配置全过程 软件工具： 1.cas-server-3.3.5-release.zip（CAS服务端） 2.cas-client- 3.1.10-release.zip（CAS客户端） 3.apache-tomcat-7.0.40 https://www.360docs.net/doc/3e17445814.html,mons-dbcp-all-1.3-r699049.jar 5.mysql-connector-java-5.1.18-bin.jar 6.cas-server-jdbc-3.0.5-rc2.jar 写在前面的话 此配置是根据当前系统，当前的版本，仅供参考，如果有什么其他的问题可以一起研究。 第一节：先走通技术障碍 第一步：环境部署 1.在Tomcat 根目录下创建一个cas目录。 2.下载CAS服务器并解压，打开cas-server- 3.3.5\modules，将cas-server-webapp-3.3.5.war复制到刚刚在Tomcat创建的cas目录下，并重命名为ROOT.war 3.修改host文件（C:\Windows\System32\drivers\etc）添加 127.0.0.1 https://www.360docs.net/doc/3e17445814.html, 注意：如果想在一台PC机上模拟这个单点登录，就必须域名重定向，如果是多台ＰＣ机，

可以不配置此项，下文有用到https://www.360docs.net/doc/3e17445814.html,，可以用相应ＰＣ机的ＩＰ代替 4.修改Tomcat文件下的server.xml（apache-tomcat-7.0.40\conf\server.xml） 添加内容： 5.启动Tomcat服务，查看信息，（如果有报错，可以根据信息查找错误），打开浏览器，输入https://www.360docs.net/doc/3e17445814.html,:8080如果出现以下界面，则CAS服务端配置成功。 注：这个是最简单的CAS服务，只要输入的用户名跟密码一样，就可以正常登陆，在我们实际开发中，这个验证因为跟数据库作比较，接下来，我们就配置数据库校验。 第二步：配置数据库验证 1.打开deployerConfigContext.xml，在apache-tomcat-7.0.40\cas\ROOT\WEB-INF目录下，找到如下代码： 添加下面代码： 2.增加数据源dataSource， 在deployerConfigContext.xml，（跟上面同一个文件）找到 ，在下面添

CAS单点登录

CAS单点登录总结 一、服务端搭建 1．安装JDK。 2．安装Tomcat。安装版本Tomcat7.0. 3．在Tomcat上配置SSl （1）生成证书。在C盘根目录下建立子文件夹“Keys”，用于存放证书。在 JDK安装文件夹下的bin文件夹（C:\Program Files\Java\jre1.8.0_60\bin）下打开“命令窗口”。 （2）执行命令“keytool -genkey -alias tomcat -keyalg RSA -storepass changeit -keystore c:\keys\.keystore -validity 3600”创建证书。 （3）将证书导入的JDK的证书信任库中 第一步：导出证书。 执行命令“keytool -export -trustcacerts -alias tomcat -file c:\keys\tomcat.cer -keystore c:\keys\.keystore -storepass changeit”将证书导出到Keys文件夹。 第二步：将证书导入到JDK证书信任库。 执行命令“keytool -import -trustcacerts -alias tomcat -file c:\keys\tomcat.cer -keystore "C:\Program Files\Java\jre7\lib\security\cacerts" -storepass changeit”。系统询问 是否信任此证书，回答“y” 4、配置server.xml文件 用文本编辑器管理员身份运行，打开Tomcat7.0下的server.xml文件（C:\Program

CAS认证实现单点登录

CAS认证实现单点登录 一.背景 有几个相对独立的java的web应用系统，各自有自己的登陆验证功能，用户在使用不同的系统的时候，需要登陆不同的系统。现在需要提供一个 统一的登陆/登出界面，而不修改各个系统原来的登陆验证机制。于是采用单点登录系统开源单点登录产品CAS。 随着新的业务网站不断的增加，用户在每个应用系统中都有独立的账号，这样就造成在访问不同的应用系统时，需要记录对应的用户名和密码，多 个用户名密码极易记混，如果忘记或记错了某一个业务网站的用户名或密码就无法进行登录，耽误工作，影响工作效率 允许用户一次性进行认证之后，就访问系统中不同的应用 二.原理 CAS 是一个独立的web 应用, 当前使用Java Servlets 实现，通过HTTPS 协议保证其数据的传输安全性。它通过三个Url 地址进行访问：登录Url、验证URL、注销URL。

三. CAS认证集成 要使用单点登录，需要部署CAS系统，CAS服务端可以直接部署在tomcat下运行，对于CAS服务端来说，所有要集成单点登录的web应用都是它的一个客户端，CAS有客户端jar包，客户端web应用需要引入CAS客户端的jar包，这样CAS系统的服务端和客户端web应用程序端才能通信。 客户端web应用程序的通过配置web.xml，添加CAS需要的各种过滤器，来实现和CAS服务器通信，用户信息验证工作在CAS 服务端统一完成，验证通过后，客户端web应用程序只需要补全自己的Session信息即可。 3.1部署CAS系统服务端 步骤1：准备好以下运行环境 jdk1.6+

tomcat6+ jdk与tomcat的下载、安装、配置在此略过。 步骤2：安装部署cas-server 到官网（https://www.360docs.net/doc/3e17445814.html,/cas/cas-server-3.5.0-release.zip）下载cas-server-3.5.0-release.zip。解压缩以后，在其路 径 cas-server-3.5.0\modules 下面找到 cas-server-webapp-3.5.0.war，将其拷贝到 tomcat 的webapps 下，改名为 cas.war, 并修改 war 包中配置文件 cas.properties 里的 cas server name=cas 并启动 tomcat，启动后可在浏览器访 问 http://localhost:8080/cas/login

CAS实现单点登录(SSO)经典完整教程

一、简介 1、cas是有耶鲁大学研发的单点登录服务器 2、本教材所用环境 ?Tomcat7.2 ?JDK6 ?CAS Service 版本 cas-server-3.4.8-release ?CAS Client版本 cas-client-3.2.1-release 二、生成证书 证书对于实现此单点登录非常之重要，证书是服务器端和客户端安全通信的凭证，本教程只是演示，所有用了 JDK自带的证书生成工具keytool。当然在实际项目中你可以到专门的证书认证中心购买证书。 中文官方网站：https://www.360docs.net/doc/3e17445814.html,/cn/ 1、用JDK自带的keytool生成证书 view plain 1.命令：keytool -genkey -alias smalllove -keyalg RSA -keystore D:/keys/smallkey 此命令是生成一个证书，其中smalllove 是证书别名 此命令的执行如图所示：

其中名字与姓氏这一最好写你的域名，如果在单击测试你可以在C:\Windows\System32\drivers\etc\hosts文件中映射一个虚拟域名，注意不要写IP。 2、导出证书 view plain

1.命令：C:\>keytool -export -file d:/keys/small.crt -alias smalllove -keystore d:/keys/smallkey 如图： 密码为上步设置的密码。 3、把证书导入到客户端JDK中。 view plain 1.命令：keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove 此命令是把证书导入到JDK中。 如图：

单点登录SSO系统解决方案

单点登录SSO系统 解决方案 ***有限公司 20

文档信息版本历史

目录 1.概述 (5) 1.1.背景 (5) 1.2.目标 (5) 1.3.阅读对象 (5) 1.4.术语和缩略语 (5) 2.SSO概述 (6) 2.1.SSO规范 (6) 2.1.1.名称解释 (6) 3.SSO接口规范 (7) 3.1.SSO接口图 (7) 3.2.SSO接口清单 (7) 3.3.单点登录接口 (8) 3.3.1.登录 (8) 3.3.2.登录状态检查 (10) 3.3.3.用户信息获取 (11) 3.3.4.登录状态查询 (12) 3.3.5.单点登录使用场景 (12) 3.4.组织数据WS同步 (13) 3.4.1.接口说明 (13) 3.4.2.使用场景 (13) 3.4.3.字段说明 (13) 3.4.4.业务规则和逻辑 (14)

3.5.用户数据WS同步 (15) 3.5.1.接口说明 (15) 3.5.2.使用场景 (15) 3.5.3.字段说明 (15) 3.5.4.业务规则和逻辑 (16) 4.实施建议 (17) 4.1.SSO实施(基本认证) (17) 4.1.1.接入流程 (17) 4.1.2.接入准备 (18) 4.1.3.接收数据 (18) 4.1.4.登录状态检查方法 (18) 4.1.5.登录/检查登录状态成功—主体代码（Success URL）编写 (18) 4.1.6.登录失败处理 (19) 4.1.7.状态检查未登录处理 (19) 4.2.组织和用户接收 (19) 4.2.1.开发框架 (19) 4.2.2.开发过程 (19) 5.附录 (20) 5.1.SSO E RROR C ODE (20) 5.2.SSO T OKEN XML (20) 5.3.SSO用户信息 (20) 5.4.SSO获取用户信息失败的状态码 (20)

统一认证与单点登录系统-产品需求规格说明 书

统一认证与单点登录系统产品需求规格说明书 北京邮电大学

版本历史

目录 0文档介绍 (5) 0.1文档目的 (5) 0.2文档范围 (5) 0.3读者对象 (5) 0.4参考文档 (5) 0.5术语与缩写解释 (5) 1产品介绍 (7) 2产品面向的用户群体 (7) 3产品应当遵循的标准或规范 (7) 4产品范围 (7) 5产品中的角色 (7) 6产品的功能性需求 (8) 6.0功能性需求分类 (8) 6.0.1产品形态 (8) 6.1外部系统管理 (9) 6.1.1外部系统注册 (9) 6.1.2外部系统集成配置 (11) 6.2用户管理 (11) 6.2.1用户管理控制台 (11) 6.2.2用户自助服务 (13) 6.2.3统一用户管理 (13) 6.3组织结构管理 (14) 6.4权限管理 (15) 6.4.1统一角色管理 (18) 6.5单点登录 (18) 6.5.1基于Httpheader单点登录 (19) 6.5.2基于表单代填的方式单点登录 (20) 6.5.3基于CAS单点登录 (20) 6.5.4总结 (23) 7产品的非功能性需求 (24) 7.1.1性能需求 (24) 7.1.2接口需求 (24) 8附录B：需求确认 (25)

0文档介绍 0.1 文档目的 此文档用于描述统一认证与单点登录系统的产品需求，用于指导设计与开发人员进行系统设计与实现。 0.2 文档范围 本文档将对系统的所有功能性需求进行消息的描述，同时约定非功能性以及如何与第三方系统进行交互。 0.3 读者对象 本文档主要面向一下读者： 1.系统设计人员 2.系统开发与测试人员 3.系统监管人员 4.产品甲方管理人员 0.4 参考文档 《凯文斯信息技术有限公司单点登录及统一用户技术方案V1.0》 0.5 术语与缩写解释

CAS单点登录配置全过程

CAS配置全过程 说明:这里只是简单的配置了CAS单点登录的过程，并没有加入复杂的验证，也没有做MD5的校验。输入数据库中存在的用户名跟密码就会登录成功 一． 首先需要下载cas-server-3.4.2-release.zip包，这个包里面包含CAS Server服务器的war包。解压之后放到找到cas-server-3.4.2\modules 下的 cas-server-webapp-3.4.2.war , 拷tomcat\webapps\下并改名为cas.war。 启动tomcat后会在webapps下看到cas文件，然后停止tomcat. 二. 配置tomcat以及修改cas server的配置 1.生成证书并导入到jdk的jre中 请直接运行附件中的.bat文件会自动把证书生成在D盘根目录下并导入到jre 中 这是bat脚本内容 keytool -genkey -alias tomcatgecko -keyalg RSA -keystore d:\mykeystore -dname "CN=gecko-4d4611f2e, OU=gecko-4d4611f2e, O=gecko-4d4611f2e, L=SH, ST=SH, C=CN" -keypass changeit -storepass changeit keytool -export -alias tomcatgecko -keystore d:\mykeystore -file d:\mycerts.crt -storepass changeit keytool -import -keystore "%JAVA_HOME%/JRE/LIB/SECURITY/CACERTS" -file d:\mycerts.crt -alias tomcatgecko 这里要注意：证书是要导入到tomcat使用的jdk。不然CAS在跳转时会找不到本地域名脚本中红色的部分是写自己的计算机名称

CAS单点登录系统实操指南

CAS单点登录系统实操指南 CAS单点登录系统实操指南 (1) 1. CAS单点登录介绍 (3) 1.1. 什么是单点登录 (3) 1.2. 什么是CAS (3) 2. CAS服务端部署及配置 (5) 2.1. 基础部署配置 (5) 2.2. 去除https认证 (7) 2.3. 登录数据源设置 (8) 2.3.1 密码未加密处理 (8) 2.3.2 密码MD5加密配置 (9) 2.4. 登录页面的极简改造 (10) 3. CAS客户端搭建 (11) 3.1. 搭建工程并添加依赖 (11) 3.2. 单点登录配置 (12) 3.3. 单点登出配置 (14) 3.3.1 未重定向登出 (14) 3.3.2 重定向地址登出 (15) 3.4. 获取登录用户信息配置 (15) 4. CAS客户端与SpringSecurity集成 (16) 4.1. 搭建工程并添加依赖 (16)

4.2. 修改和创建配置文件 (18) 4.3. 创建Spring-security认证脚本 (22) 4.4. 获取登录名 (22)

1. CAS单点登录介绍 1.1. 什么是单点登录 单点登录（Single Sign On），简称为SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。 我们目前的系统存在诸多子系统，而这些子系统是分别部署在不同的服务器中，那么使用传统方式的session是无法解决的，我们需要使用相关的单点登录技术来解决。 1.2. 什么是CAS CAS 是Yale 大学发起的一个开源项目，旨在为Web 应用系统提供一种可靠的单点登录方法，CAS 在2004 年12 月正式成为JA-SIG 的一个项目。CAS 具有以下特点：

统一身份认证与单点登录系统建设方案

福建省公安公众服务平台 统一身份认证及单点登录系统建设方案 福建公安公众服务平台建设是我省公安机关“三大战役”社会管理创新的重点项目之一；目前平台目前已经涵盖了公安厅公安门户网 站及网站群、涵盖了5+N服务大厅、政民互动等子系统；按照规划，平台还必须进一步拓展便民服务大厅增加服务项目，电子监察、微博监管等系统功能，实现集信息公开、网上办事、互动交流、监督评议 功能为一体的全省公安机关新型公众服务平台。平台涵盖的子系统众多，如每个子系统都用自己的身份认证模块，将给用户带来极大的不便；为了使平台更加方便易用，解决各子系统彼此孤立的问题，平台 必须增加统一身份认证、统一权限管理及单点登录功能。 一、建设目标 通过系统的建设解决平台用户在访问各子系统时账户、密码不统一的问题，为用户提供平台的统一入口及功能菜单；使平台更加简便易用，实现“一处登录、全网漫游”。同时，加强平台的用户资料、授权控制、安全审计方面的管理，确保用户实名注册使用，避免给群 众带来安全风险；实现平台各子系统之间资源共享、业务协同、互联 互通、上下联动；达到全省公安机关在线服务集成化、专业化的目标。 二、规划建议 统一身份认证及单点登录系统是福建公安公众服务平台的核心 基础系统；它将统一平台的以下服务功能：统一用户管理、统一身份 认证、统一授权、统一注册、统一登录、统一安全审计等功能。系统 将通过标准接口（WebService接口或客户端jar包或dll动态链接库）向各子系统提供上述各类服务；各业务子系统只要参照说明文档，做适当集成改造，即可与系统对接，实现统一身份认证及单点登录， 实现用户资源的共享，简化用户的操作。

单点登录_尚学堂CAS讲义

一.SSO (Single Sign-on)原理 SSO 分为Web-SSO和桌面SSO。桌面SSO 体现在操作系统级别上。Web-SSO体现在客户端，主要特点是：SSO 应用之间使用Web 协议( 如HTTPS) ，并且只有一个登录入口。我们所讲的SSO，指Web SSO 。 SSO 的体系中，有下面三种角色： ?User（多个） ?Web应用（多个） ?SSO认证中心（一个） SSO 实现模式千奇百怪，但万变不离其宗，包含以下三个原则： ●所有的登录都在 SSO 认证中心进行。 ●SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是不是通过认证的 用户。 ●SSO 认证中心和所有的 Web 应用建立一种信任关系。 二.CAS 的基本原理 CAS(Central Authentication Service) 是Yale 大学发起的构建Web SSO 的Java开源项目。 1.CAS 的结构体系 ◆CAS Server CAS Server 负责完成对用户信息的认证，需要单独部署，CAS Server 会处理用户名/ 密码等凭证(Credentials) 。 ◆CAS Client CAS Client部署在客户端，当有对本地Web 应用受保护资源的访问请求，并且需要对请求方进行身份认证，重定向到CAS Server 进行认证。 2.CAS 协议 基础协议

上图是一个基础的CAS 协议，CAS Client 以过滤器的方式保护Web 应用的受保护资源，过滤从客户端过来的每一个Web 请求，同时，CAS Client 会分析HTTP 请求中是否包请求Service Ticket( 上图中的Ticket) ，如果没有，则说明该用户是没有经过认证的，CAS Client 会重定向用户请求到CAS Server （Step 2 ）。Step 3 是用户认证过程，如果用户提供了正确的认证信息，CAS Server 会产生一个随机的Service Ticket ，会向User 发送一个Ticket granting cookie (TGC) 给User 的浏览器，并且重定向用户到CAS Client （附带刚才产生的Service Ticket），Step 5 和Step6 是CAS Client 和CAS Server 之间完成了一个对用户的身份核实，用Ticket 查到Username ，认证通过。 3.CAS 如何实现SSO 当用户访问Helloservice2再次被重定向到CAS Server 的时候，CAS Server 会主动获到这个TGC cookie ，然后做下面的事情： 1)如果User 的持有TGC 且其还没失效，那么就走基础协议图的Step4 ，达到了 SSO 的效果。 2)如果TGC 失效，那么用户还是要重新认证( 走基础协议图的Step3) 。 三.实践配置 下面我们以tomcat 5.5 为例进行说明(这里，我将Server和Client同时放在了同一个Tomcat服务器下)。 软件环境：tomcat 5.5 ant-1.6.5, jdk1.5.0_06 下载cas-server-3.0.4.zip和cas-client和cas-server-jdbc-3.0.5-rc2.jar和mysql 5.0.16和tomcat 5.5.15 https://www.360docs.net/doc/3e17445814.html,/downloads/cas/cas-server-3.0.4.zip

统一认证与单点登录解决方案(详细介绍了统一认证和单点登录)

统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例，提出建立企业用户认证中心，实现基于安全策略的统一用户管理、认证和单点登录，解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展，企业内部的应用系统越来越多。比如在媒体行业，常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立，用户在使用每个应用系统之前都必须按照相应的系统身份进行登录，为此用户必须记住每一个系统的用户名和密码，这给用户带来了不少麻烦。特别是随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一用户认证、单点登录等概念应运而生，同时不断地被应用到企业应用系统中。 1 统一用户管理的基本原理 一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性，增加管理的成本。 例如，用户X需要同时使用A系统与B系统，就必须在A系统与B系统中都创建用户X，这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统，用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外，还要保证数据的完整性，因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统（UUMS）。UUMS 统一存储所有应用系统的用户信息，应用系统对用户的相关操作全部通过UUMS 完成，而授权等操作则由各应用系统完成，即统一存储、分布授权。UUMS应具备以下基本功能：

CAS3.5.2单点登录详解

服务端cas： 从网上下载cas：https://www.360docs.net/doc/3e17445814.html,/ 在cas下： 在cas-client下： 解压cas-server-3.5.2-release.zip\cas-server-3.5.2\module\cas-server-webapp-3.5.2.war部署到tomcat上， 设置 F:\apache-tomcat-6.0.30\webapps\cas\WEB-INF\cas-servlet.xml(大家取实际情况的路径) 默认为false，这个设置是为了让登出(logout)以后进入到指定页面. 设置deployerConfigContext.xml 配置数据源和加密： oracle.jdbc.driver.OracleDriver jdbc:oracle:thin:@127.0.0.1:1521:orcl require require 然后注释掉下面这行,这行是为了测试使用，只要账号密码相同就可以通过验证

CAS 单点登录操作文档

这人CAS 在 Tomcat 中实现单点登录 1证书生成及导入 1.1Server端证书配置 1.2 JAVA信任证书库 D:\Program Files\Java\jdk1.5.0\jre\lib\security\cacerts cacerts证书库默认密码-storepass changeit 查看证书 1.1.1.2 keytool -list -keystore cacerts -storepass changeit 如果存在则删除 1.1.1.1 keytool -delete -alias tomcatsso -keystore cacerts -storepass changeit 创建证书库 1.1.1.3 keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=https://www.360docs.net/doc/3e17445814.html," -keystore server.keystore -storepass 12345678 导出证书 1.1.1.4 keytool -export -alias tomcatsso -file tomcatsso.crt -keystore server.keystore -storepass 12345678 加入JAVA信任证书库 1.1.1.5 keytool -import -alias tomcatsso -file tomcatsso.crt -keystore ../jre/lib/security/cacerts -storepass changeit 说明：在生成key的过程，"cn=https://www.360docs.net/doc/3e17445814.html," 中的https://www.360docs.net/doc/3e17445814.html,为Server端的域名(必填)。 1.2.1TOMCAT 配置SSL支持

SSO解决方案大全SingleSignOnforeveryone

SSO解决方案大全Single Sign-On for everyone 前段时间为我们的系统做SSO(单点登录)参考了很多资料,其中包括博客园二级域名的登录.翻译本文是由于作者的一句话:思想都是一样的,只不过实现起来需要创造性思维. Single Sign-On (SSO)是近来的热门话题. 很多和我交往的客户中都有不止一个运行在.Net框架中的Web应用程序或者若干子域名.而他们甚至希望在不同的域名中也可以只登陆一次就可以畅游所有站点.今天我们关注的是如何在各种不同的应用场景中实现SSO. 我们由简到繁,逐一攻破. 1.虚拟目录的主应用和子应用间实现SSO 2.使用不同验证机制实现SSO (username mapping) 3.同一域名中,子域名下的应用程序间实现SSO 4.运行在不同版本.NET下的应用程序间实现SSO 5.两个不同域名下的Web应用程序间实现SSO 6.混合身份验证方式模式(Forms and Windows)下实现SSO 1. 虚拟目录的主应用和子应用之间实现SSO 假设有两个.Net的Web应用程序-Foo和Bar,Bar运行在Foo虚拟目录的子目录().二者都实现了Forms认证.实现Forms认证需要我们重写Application_AuthenticateRequest,在这个时机我们完成认证一旦通过验证就调用一下FormsAuthentication.RedirectFromLoginPage.这个方法接收的参数是用户名或者其它的一些身份信息.在https://www.360docs.net/doc/3e17445814.html,中登录用户的状态是持久化存储在客户端的cookie中.当你调用RedirectFromLoginPage时就会创建一个包含加密令牌FormsAuthentication Ticket的cookie,cookie名就是登录用户的用户名.下面的配置节在Web.config定义了这种cookie 如何创建: