資源描述:
《基于cas單點登錄技術(shù)的研究與實現(xiàn)》由會員上傳分享��,免費在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫����。
1���、基于CAS單點登錄技術(shù)的研宄與實現(xiàn)摘要:隨著信息化發(fā)展���,越來越多的應(yīng)用系統(tǒng)應(yīng)運而生。若用戶每使用一個系統(tǒng)都登錄一次�,就會給用戶帶來諸多不便,單點登錄機(jī)制能很好地解決這一問題����。用戶只需要認(rèn)證一次,無需重復(fù)登錄��,實現(xiàn)統(tǒng)一管理和應(yīng)用系統(tǒng)間的無縫連接?;诖耍恼聦﹂_源技術(shù)的CAS實現(xiàn)單點登錄的原理進(jìn)行了介紹����,并介紹在Tomcat中部署CAS配置的方法。關(guān)鍵詞:統(tǒng)一身份認(rèn)證����;單點登錄;SSO���;CAS中圖分類號:TP399文獻(xiàn)標(biāo)識碼:A文章編號:1006-8937(2015)24-0082-011背景概述
2��、隨著計算機(jī)技術(shù)的不斷發(fā)展與進(jìn)步��,基于B/S(瀏覽器/服務(wù)器)結(jié)構(gòu)的企業(yè)應(yīng)用軟件應(yīng)用更加的廣泛����,現(xiàn)在很多企業(yè)生產(chǎn)管理活動都在應(yīng)用企業(yè)應(yīng)用軟件系統(tǒng)����。而企業(yè)應(yīng)用軟件系統(tǒng)都不相關(guān),相互獨立�,因此具有不同的身份驗證標(biāo)準(zhǔn)�����,在不同的頁面分散登錄與分散管理。因此這就導(dǎo)致企業(yè)工作人員在每個應(yīng)用軟件系統(tǒng)頻繁登陸與注銷����,這就嚴(yán)重影響工作的效率。若采用基于統(tǒng)一身份認(rèn)證技術(shù)單點登錄(SingleSignOn,簡稱SSO),就可以避免頻繁地登錄與注銷各個頁面系統(tǒng)��,提高工作效率�。所以企業(yè)應(yīng)當(dāng)采用統(tǒng)一的身份認(rèn)證系統(tǒng),這樣一方面
3�����、保證用戶操作方便��,另一方面還可以保證應(yīng)用系統(tǒng)的安全���。2CAS原理和協(xié)議2.1CAS訪問流程的步驟從結(jié)構(gòu)上看�����,CAS涵蓋了CASServer和CASClient兩個部分:需要獨立部署��,CASServer主要是對用戶的認(rèn)證工作進(jìn)行負(fù)責(zé)���;CASClient主要是對客戶端受保護(hù)資源的訪問請求進(jìn)行負(fù)責(zé)��,需要登錄時���,需向CASServe重新定向。CAS訪問流程�����,如圖1所示���,主要有以下步驟:①訪問服務(wù):用戶通過客戶端瀏覽器發(fā)送請求�,訪問應(yīng)用系統(tǒng)提供的服務(wù)資源��。②重定向認(rèn)證:CAS客戶端收到用戶請求后����,重定向用
4、戶請求到CAS服務(wù)器����。③用戶認(rèn)證:用戶輸入信息進(jìn)行身份認(rèn)證����。④發(fā)放票據(jù):CAS服務(wù)器會產(chǎn)生一個隨機(jī)ServiceTicket�����。⑤驗證票據(jù):CAS服務(wù)器驗證票據(jù)ServiceTicket的合法性����,驗證通過后�����,允許用戶訪問服務(wù)����。①傳輸用戶信息:CAS服務(wù)器驗證票據(jù)通過后,傳輸用戶認(rèn)證結(jié)果信息給用戶���。2.1CAS最基本的協(xié)議過程下面是CAS最基本的協(xié)議過程:和CASClient安放在一起的是受保護(hù)的客戶端應(yīng)用系統(tǒng)�,利用Filter請求進(jìn)行過濾方式����。若受保護(hù)的資源被每個Web請求訪問�����,則CASClien
5��、t就會對該請求進(jìn)行立即分析���,對Http請求中是否包含ServiceTicket進(jìn)行查看,并將請求向CASServer登錄地址發(fā)送并且將Service傳遞(也就是要訪問的目的資源地址)�,而一旦登陸成功,則可向該地址轉(zhuǎn)回����。用戶則在第3步中將認(rèn)證信息輸入,CASServer就會隨機(jī)將一個字符數(shù)生成����,ServiceTicket是不可再造的、唯一的�,為了將來驗證需要進(jìn)行延緩,之后對Service所在的地址�,系統(tǒng)自動重新登陸,并將一個TicketGrantedCookie配置到客戶端瀏覽器配置����,在拿到Ser
6�����、vice和新生成的Ticket之后���,CASClient在第5、6步中與CASServer進(jìn)行身份驗證�����,對ServiceTicket的正確性提供保障���。全部與CAS的交互在這個協(xié)議中,都利用SSL協(xié)議�����,進(jìn)而對ST和TGC的安全性提供保障�����。在工作過程中����,該協(xié)議將兩次重新回到Service所在的地址����,驗證用戶能夠見到CASClient與CASServer之間進(jìn)行Ticket驗證的過程����。3基于Tomact下的CAS系統(tǒng)搭建流程3.1環(huán)境選擇軟件版本:Tomcat7.0.32+JDK1.6.0_37+cas
7、-server-3.5.1+cas-client-3.2.13.2生成證書生成證書的步驟如下:①生成服務(wù)器端證書文件��,keytoolgenkeyaliasserverkeyalgRSAkeystoreserverkey���。②將服務(wù)器證書導(dǎo)出為證書文件�,keytoolexportfileserver.crtaliasserverkeystoreserverkey���。③為客戶端JVM導(dǎo)入證書�,keytoolimportkeystore%javaJnome%jrelibcacertsfileserv
8���、er.crtaliasservero④將證書應(yīng)用到Web服務(wù)器Tomcat在tomcat目錄下找到得server.xml文件�,添加如下:����。3.3部署CASserver基于Java實現(xiàn)的CASServer服務(wù)�,該服務(wù)要JavaWebApplication單獨配置在與servlet兼容的Web服務(wù)器上����,同時配置CASServer的服務(wù)器能滿足SSL協(xié)議。只有當(dāng)SSL配置成功�����,則服務(wù)器上配置的CASServer才能正常運行���。在Tomcat的Webapps目錄中存放cas-server-webapp-3
