【安全记录】使用CAS实现SSO单点登录

微信公众号：信安文摘

1. 前言

平时渗透过程中总会遇到很多SSO单点登录的站群，也不太清楚其中的原理。最近看到一篇文章，讲解了使用CAS实现SSO功能，

2. 相关知识介绍

2.1 SSO概述

单点登录（Single Sign-On , 简称 SSO）是目前比较流行的服务于企业业务整合的解决方案之一， SSO 使得在多个应用系统中，用户只需要登录一次，就可以访问所有相互信任的应用系统。

2.2 CAS介绍

CAS（Central Authentication Service）中文翻译为++统一身份认证服务或中央身份服务++，它由服务端和客户端组成，实现SSO，并且容易进行企业应用的集成。

官网地址：https://www.apereo.org/projects/cas

服务端：CAS Server为需要独立部署的web应用

客户端：CAS Client支持非常多的客户端（这里指单点登录系统中的各个web应用），包括 Java、.Net 、ISAPI、Php、Perl、uPortal、Acegi、Ruby、VBScript等客户端

整体架构图如下：

对客户端受保护资源的访问请求，需要登录，重定向到CAS Server。

3. CAS服务端安装部署

使用maven进行build，所以部署前先安装maven，并配置好maven仓库来源与本地仓库路径（防止下载的包默认放在c盘）

下载5.3版本CAS 服务端：https://github.com/apereo/cas-overlay-template/tree/5.3

解压：

在解压目录下运行build.cmd命令：

build.cmd package

会从maven仓库下载相关的依赖包，最后在target目录下得到可直接部署的war包：

将war包放在tomcat的webapps目录下，（我这里使用的是tomcat 8.5.9版本，一开始使用的7.0.99版本一直部署不成功）。部署需要一段时间，部署完成后，访问http://127.0.0.1:8080/cas即可看到主页面。

登录账号密码配置文件位置：\webapps\cas\WEB-INF\classes\application.properties

默认账号密码为：

cas.authn.accept.users=casuser::Mellon

4. CAS 服务端配置

主要配置修改为去除HTTPS认证。

使用https传输需要相关的证书文件，在本次搭建学习过程中，我使用http协议即可。

修改CAS服务端配置文件：

\cas\WEB-INF\classes\application.properties

添加如下内容：

cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true

\cas\WEB-INF\classes\services\HTTPSandIMAPS-10000001.json

修改为如下内容：

"serviceId" : "^(https|http|imaps)://.*"

5. CAS 客户端编写配置

回到CAS架构的图：

客户端就是一个一个应用，这里创建两个springboot测试项目作为客户端。

5.1 客户端1

创建一个springboot项目，配置的具体过程可以学习参考链接，添加如下依赖pom.xml：

<dependency>
    <groupId>net.unicon.cas</groupId>
    <artifactId>cas-client-autoconfig-support</artifactId>
    <version>2.1.0-GA</version>
</dependency>

在resources下新建application.properties（或者已经存在该配置文件），