CAS和OpenAM的对比

OpenAM 是一个领先的开源认证、授权的产品，可用于替换即将被取消的OpenSSO。

OpenAM 提供核心的标识服务用来简化实现在一个网络架构中的透明单点登录，包括集中式或者分布式的单点登录。

主要的特性有：
∙完全符合开源AAA产品；
AAA协议：计算机安全领域的协议，AAA指：鉴权，授权，计费（Authentication, Authorization, Accounting）
∙简单易用、易配置；
∙纯Java开发；
∙可轻松配置联合认证系统，并集成到已有项目中。

最新的功能：
∙支持XACML 协议
∙100%支持OAuth认证协议
∙企业监控。

CAS 具有以下特点：
∙开源的企业级单点登录解决方案。

∙CAS Server 为需要独立部署的Web 应用。

∙CAS Client 支持非常多的客户端(这里指单点登录系统中的各个Web 应用)，包括Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

應用廣泛，具有獨立於平台的，易於理解，支持代理功能。

本篇文章來源于職場幫() 原文出處︰/Java/492494.html
Spring Framework的Acegi安全系統支持CAS，並提供了易於使用的方案。

Acegi
安全系統，是一個用於Spring Framework的安全框架，能夠和目前流行的Web容器
無縫集成。

它使用了Spring的方式提供了安全和認證安全服務，包括使用Bean Context，攔截器和面向接口的編程方式。

因此，Acegi安全系統能夠輕鬆地適用於複
雜的安全需求。

Acegi安全系統在國內外得到了廣泛的應用，有着良好的社區環境。

本篇文章來源于職場幫() 原文出處︰
/Java/492494.html
六、CAS的設計目標
(1)為多個Web應用提供單點登錄基礎設施，同時可以為非Web應用但擁有Web前
端的功能服務提供單點登錄的功能；
(2)簡化應用認證用戶身份的流程；
(3)將用戶身份認證集中於單一的Web應用，讓用戶簡化他們的密碼管理，從而提高安
全性；而且當應用需要修改身份驗證的業務邏輯時，不需要到處修改代碼。

本篇文章來源于職場幫() 原文出處︰
/Java/492494.html
关于OpenAM OpenAM 的原型应该就是OpenSSO，据说是在Oracle 关闭OpenSSO 时，被“解救”下来的。

在OpenAM 的官网上能找到相关的帮助文档，前阵子总结的OpenAM+OpenDS+Policy Agent，我在tomcat 下配置成功了，在weblogic 下还没试过，感觉应该是没什么问题，配置方法是差不多的。

可惜，这种方法使用的LDAP 服务器是OpenDS，而既存系统在OAS 上使用的是OID(Oracle Internet Directory)，客户希望沿用OID 这个LDAP 服务器，(恨死他们了)，从OpenAM 的安装过程来看，OpenAM 似乎不支持OID，但是，在网上找到一些资料似乎修改一些配置还是可以做到的，比如这个文章，这个保留先，研究中。

1，搞SSO 前请先熟悉SSL/PKI，因为，CAS 的安全性很大程度依赖于SSL，没有安全性，不敢想象SSO 有何作为。

2，因为我们的环境是在Weblogic Portal 上，Portal 环境上，调试CAS 费了我好大力气，加之我重写了CAS 的LoginModule(CAS 不提供J_Security_check 登陆方式)，中途抛出的错误很多，访问BEA Support 网站是家常便饭了。

3，需要配置信任证书，CAS 如果象我那样一步一步地创建根CA，ServerCA，恐怕会比较辛苦，但证书的确让我高枕无忧，从CAS Server 和各个Web 应用之间建立一种更松耦合的信任关系。

4，IE 端到CAS Server 的双向SSL 虽是画蛇添足，但是在一些高安全性的SSO 环境，如网上付费，付出少许的计算代价，即让身份欺诈无所遁形。

冷静下来，想了一下SSO 的用处，看来在互连星空中会有卖点，事实上，电信已经使用了SSO 了，联通在信平台也在各SP与MISC 之间部署SSO，随着B2B，B2C 的发展，相信SSO 会有很不错的前途。

我个人对CAS 的评价是，PureJava Impl，OpenSource，能轻松在各种WebServer 间移植，协议并没有Kerberos 那么复杂(当然Kerberos 更安全)，所以使用和调试起来，没有Kerberos 那么痛苦。

实战中，本人更倾向使用CAS 3.0，基于Spring 的一种实现方式，将来有空必为此写一Blog. 使用cas 实现sso。