Apache CAS部署在tomcat上实现单点登录

单点登录（Single Sign On , 简称 SSO ）是目前比较流行的服务于企业业务整合的解决方案之一， SSO 使得在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架，本文介绍了 CAS 的原理、协议、在 Tomcat 中的配置和使用，对于采用 CAS 实现轻量级单点登录解决方案的入门读者具有一定指导作用。

1.CAS介绍

CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。

CAS 具有以下特点：

（1）开源的企业级单点登录解决方案。

（2）CAS Server 为需要独立部署的 Web 应用。

（3）CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

2.CAS原理和协议

从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。图1 是 CAS 最基本的协议过程：

                                       图1 CAS基础协议

CAS Client 与受保护的客户端应用部署在一起，以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求，CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket，如果没有，则说明当前用户尚未登录，于是将请求重定向到指定好的 CAS Server 登录地址，并传递 Service （也就是要访问的目的资源地址），以便登录成功过后转回该地址。用户在第 3 步中输入认证信息，如果登录成功，CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket，并缓存以待将来验证，之后系统自动重定向到 Service 所在地址，并为客户端浏览器设置一个 Ticket Granted Cookie（TGC），CAS Client 在拿到 Service 和新产生的 Ticket 过后，在第 5，6 步中与 CAS Server 进行身份合适，以确保 Service Ticket 的合法性。
在该协议中，所有与 CAS 的交互均采用 SSL 协议，确保，ST 和 TGC 的安全性。协议工作过程中会有 2 次重定向的过程，但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。
另外，CAS 协议中还提供了 Proxy （代理）模式，以适应更加高级、复杂的应用场景，具体介绍可以参考 CAS 官方网站上的相关文档。

3.准备工作

下载CAS Server：https://www.apereo.org/projects/cas/download-cas

下载CAS Client ：http://developer.jasig.org/cas-clients/

下载Tomcat ： 本文用的是Tomcat 8.0，自己去官网下载即可。

4. 生成https的证书文件

为了在Tomcat启用SSL，使其支持https访问，需要生产证书文件。

这里需要使用JDK安装包下的keytool工具生成证书文件keystore，以命令方式换到目录%TOMCAT_HOME%,在command命令行输入如下命令： 

keytool -genkey -alias tomcat_key -keyalg RSA -storepass changeit -keystore server.keystore -validity 36500

此时会提示用户输入姓名，组织等信息，如下所示，只输入localhost作为name，其余回车即可

这样就会在当前路径下生成一个名为server.keystore的证书文件，这个文件会在后面tomcat的server.xml配置文件中用到。

简单解释下这个命令的含义：

-genkey 生成证书指令

 -alias 证书的别名为tomcat_key 

-keyalg 生成证书的算法是RSA 

-storepass 证书的密码changeit 

-keystore 生成的证书文件是server.keystore 这里也可以指定具体的路径，如在Mac下：