基于JASIG CAS的统一身份认证系统

统一身份认证方法的研究随着网络技术的不断发展，各种网站和应用程序也越来越广泛地应用于人们生活和工作中，但是这也带来了诸如密码管理、账号乱象、信息泄露等问题，给个人隐私和安全带来了威胁。

因此，单一的身份认证方式已经无法满足人们对于安全和方便的需求，出现了统一身份认证方法。

统一身份认证（Unified Identity Authentication，UAA）是指将多个站点和应用平台上的用户身份管理、认证和授权等功能集中在一起，使用同一套账号和密码就可以访问不同的站点和应用服务。

UAA可以实现用户的“一次认证，多次授权”，减少了用户管理的负担，同时也保障了用户数据的安全。

UAA的实现方式主要包括以下几种：1. 基于单点登录（Single Sign-On，SSO）的方法：SSO是一种用户只需一次登录，就可以访问多个系统的身份认证方法。

用户在第一次登录之后，系统会为该用户在其他系统中创建一个信任关系票据（Token），从而无需重新登录其他系统。

常见的SSO技术有SAML、OAuth、OpenID Connect等。

2. 基于集中认证系统（Centralized Authentication System，CAS）的方法：CAS是一种封装了用户身份信息和认证逻辑的系统，由此来自动实现通用的身份验证和授权，并为各种应用程序提供API和接口。

该方法通过一个中心化的认证服务器，统一验证用户身份和信息，降低了多个应用程序之间的权限管理维护成本。

3. 基于LDAP的方法：LDAP是轻量级目录访问协议（Lightweight Directory Access Protocol）的简称。

该方法通过LDAP服务器存储用户身份信息，各应用程序直接连接LDAP服务器来完成认证和授权功能。

4. 基于云身份认证服务的方法：云身份认证服务是一种基于云计算架构的身份认证服务，提供了全球范围内的身份认证和访问控制服务。

常见云身份认证服务供应商包括百度云、阿里云、华为云等。

基于CAS统一身份认证的设计作者：陈利锋来源：《新教育时代·学生版》2018年第23期摘要：在高校信息化的高速发展下，系统集成已成为高校信息化管理的重要组成部分。

使用独立的身份认证系统来实现平台之间身份信息的交换和共享成为系统集成的普遍做法。

如何应对高并发，多用户的并发请求，是保障认证系统稳定，高效运行的重要问题。

因此设计一套合理的认证系统架构来解决这些问题显得尤为重要。

本文通过采用CAS开源软件，结合Redis实现分布式的多认证模式，达到统一身份认证效果。

关键词：信息化建设身份认证 CAS Redis引言随着计算机技术和网络技术的迅猛发展，目前高校已经具备了完善的网络环境，但是各系统的用户管理和登录自成系统，通过独立的身份进行登录和管理，这给校园用户和管理员带来了许多的不便，主要体现在不利于进行统一管理，不能够实现对信息资源的整合利用。

基于以上原因，提出了单点登陆的概念。

所谓单点登陆是指通过同一套用户名密码登陆一次，就能访问其他集成到身份认证平台的系统资源，不用多次登陆认证。

高校数字校园的建设需在遵循同一标准与规范的情况下，通过系统的集成与整合，构建一个完整统一、高效稳定、安全可靠的认证系统。

[1]一、设计目标通过对需求分析，身份认证系统主要实现以下几个功能：1.集中用户管理;2.集中认证管理;3.集中授权管理。

集中用户管理主要指身份认证系统的用户账号都存在于一套集中的数据库中，对于账号的维护主要对账户的增删改三种账号异动进行管理。

所以我们将从账号的来源、账号在使用过程中的操作、账号销户三个方向对账号做维护，对增删改等操作都将提供相应的接口，便于和其他系统的交互。

集中认证主要指对接入统一身份认证平台的系统进行管理，对接入身份认证系统提供安全可靠的认证服务，实现强身份认证服务;实现单点登录功能，通过一个站点登陆可以访问其他站点，无须再次验证;支持web系统认证集成，APP等应用可以进行认证。

基于CAS的校园统一身份认证系统部署作者：郑健来源：《电脑知识与技术》2019年第23期摘要：统一身份认证系统是校园信息化的重要基础设施，CAS可提供企业级的单点登录服务，有着开放且文档完备的协议，支持数据库、LDAP等多种认证方式，可满足师生使用校内信息系统时单点登录的需求。

关键词：CAS;MySQL;LDAP;统一身份认证;单点登录中图分类号：TP315; ; ; 文献标识码：A文章编号：1009-3044（2019）23-0061-03开放科学（资源服务）标识码（OSID）：Deployment of Campus Unified Identity Authentication System Based on CASZHENG Jian（Suzhou Industrial Park Institute of Vocational Technology， Suzhou 215123， China）Abstract： Unified identity authentication system is an important infrastructure of campus informatization. CAS can provide enterprise-level single sign-on service. It has an open and well-documented protocol， supports database， LDAP and other authentication methods. It can meet the needs of teachers and students when using campus information systems.Key words： CAS; MySQL; LDAP; unified identity authentication; Single Sign-On （SSO）1 概述随着校园信息化的发展，各个业务部门都建立了相应的信息化应用系统，但存在的问题也日益凸显：一是各个系统的基础数据不统一，难以互通，造成大量信息孤岛;二是各个业务系统都使用不同的账号、密码体系，给用户使用造成诸多不便。

分类号： TP311 密级：U D C： 004 编号： 201232103007河北工业大学硕士学位论文基于CAS和OAuth的统一认证系统研究与实现论文作者：赵昱栋学生类别：全日制专业学位类别：工程硕士领域名称：计算机技术指导教师：顾军华职称：教授Dissertation Submitted toHebei University of TechnologyforThe Master of Engineering Degree ofComputer TechnologyResearch and implementation of unified authentication systembased on CAS and OAuthByZhao Y udongSupervisor: Prof. Gu JunhuaNovember 2014摘要随着互联网技术的不断发展，高校为了提高信息化水平，引入了越来越多的网站和应用，而各应用一般采用独立的身份验证，维护多套登录凭证给用户工作造成不便，同时也为安全带来隐患。

数据不一致的隐患时刻威胁着应用，同时也造成了极大的数据冗余，另外，复杂的权限模块还为应用开发带来难度，基于单点登录技术的统一认证系统就显得很有必要。

本文首先介绍了课题的研究背景及意义，并从单点登录和开放授权技术两个方面介绍了国内外的研究现状，并对比了目前常用的单点登录模型。

然后根据学校内部应用环境、用户访问需求进行深入研究，提出了以CAS(Central Authentication Service)和OAuth2.0为核心技术的应用整合方案，即基于CAS和OAuth的统一认证系统的设计与实现。

根据需求设计了由数据层、应用程序层、统一认证服务层、访问控制层组成的架构。

系统使用CAS作为核心认证服务，学校内部应用使用Spring Security框架进行改造来实现单点登录过程中的用户认证与用户授权。

基于CAS的校园统一身份认证系统的设计与实现李莉【摘要】随着高校信息系统不断增多,采用一种轻量级第三方认证系统进行统一的身份认证和用户管理是必然的趋势.而CAS认证正是这一问题的轻量级解决方案.本文以石油大学的信息化建设为例,介绍了CAS认证系统的设计思想,设计逻辑和具体的编码实现.【期刊名称】《微型电脑应用》【年(卷),期】2016(032)010【总页数】2页(P72,76)【关键词】CAS统一身份;认证系统设计与实现【作者】李莉【作者单位】中国石油大学(华东)网络及教育技术中心,青岛266580【正文语种】中文【中图分类】TP399随着高等学校信息化的推进，各种应用系统的增多，信息孤岛问题也越来越明显[1]。

各个应用系统独立维护着属于自己的用户。

且高校信息系统的使用者是相对固定的教师和学生，因而各个系统需要单独维护大致相似的用户群。

这不仅加大了各个系统维护的工作量，更重要的是各个系统各自为政，系统用户的精确性没法得到保证[2]。

例如某个学生办理了退学手续，在教务系统中删除了该学生的记录，但在一卡通和邮件系统该学生还仍然存在。

这就给管理带了很大的麻烦。

因此采用一个第三方的认证系统，将教工和学生的信息进行统一的维护就显得至关重要。

CAS统一身份认证系统作为一种轻量级，开放可扩展的单点登录解决方案，正是解决这种问题技术的典型代表[3]。

CAS（Central Authentication Service -中心认证服务）的目的就是使分布在内部各个不同异构系统的认证工作集中在一起，通过一个公用的认证系统统一验证用户身份的合法性[4]。

通过CAS认证的用户将获得CAS颁发的一个证书，使用这个证书，用户可以在承认CAS证书的各个系统上自由穿梭访问，不需要再次的登录认证[5]。

1）以filter的形式，对B/S结构应用系统资源进行过滤保护，可以保护所有资源，也可以保护单一资源。

2）获得CAS Server颁发的ServiceTicket，并凭此ST从CAS Server上取得登录用户信息。

基于CAS的高校智慧校园统一身份认证平台的研究与实现作者：汤其妹来源：《电脑知识与技术》2020年第11期摘要：CAS（Central Authentication Service）可以为Web应用系统提供一种可靠的单点登录方法，应用该方法实现了一个统一身份认证系统，使用户在访问多个相互信任的应用系统时，只需要进行一次统一身份验证过程，而不必重复登录验证，大大简化了用户访问网络资源的过程。

特别适用于高校这种业务系统众多且分散在各个部门的情况。

该文从CAS原理、认证流程、实现方式进行了阐述，在CAS部署方面就Server端和Client端分别给出具体的实现方法与详细步骤。

其研究结果对于当前高校信息化建设和发展具有一定的实践意义。

关键词：统一身份认证;CAS;智慧校园;单点登录中图分类号：G642 文献标识码：A1概述近年来随着网络技术的飞速发展，特别是Web应用系统的流行，高校很多二级部门都针对本部门的业务开发了多个业务应用系统，但大多数仍采用传统的身份认证方式，即每个应用系统都有各自独立的身份认证，这种开发模式不仅造成重复开发，还严重影响到应用系统的性能及用户使用的方便性。

为了解决这些问题，建立一套统一身份认证系统迫在眉睫。

使用统一身份认证系统，用户只需要输入一次用户名和密码信息，验证成功后再访问系统中的其他资源时无须重复登录。

本文基于CAS（Central Authentication SeIvice）实现了统一身份认证系统，为多个相互信任的应用系统提供认证服务的接口，提高了系统的方便性和可操作性，并确保用户数据信息的隐私和安全。

CAS框架通过Java开发实现，为Web身份验证提供了解决方案，另外CAS为开源项目，可以方便地对源代码进行修改从而适应各高校的个性化需求。

2单点登录及CAS框架介绍单点登录和CAS框架是实现统一身份认证平台的关键技术。

本小节重点介绍单点登录、CAS框架的原理及认证流程，并阐述相比较早期登录技术的优势。

第34期2018年12月No.34December ，2018张心祥（南京工业大学，江苏南京211816）作者简介：张心祥（1989—），男，江苏南京人，硕士；研究方向：计算机网络，计算机技术。

江苏科技信息Jiangsu Science &Technology Information0引言由于高校信息化建设初期没有进行统一的规划，各个业务应用系统是独立运行的，数据互不兼容，师生需要设置多个帐号，很容易出现混淆与遗忘的情况，同时对于管理员就需要花费大量的时间去维护各种系统的用户信息来保证数据的一致，不仅效率低还容易出错，降低了安全性。

因此，建设一个能够使用一个帐号登录所有的应用系统，高效、稳定又安全的系统［1］。

统一身份认证系统使用统一的逻辑和界面管理用户信息，为校园的各种网络和应用提供了统一的用户管理平台和身份认证服务，提高了应用系统的安全性、可靠性和高效性，为学校整合现有的各种应用系统提供支撑，保障学校信息资源的有序应用；为学校师生用户提供了统一的帐号和密码，实现了用户电子身份的统一管理，当用户在不同的应用系统间切换时，无需重复输入登录凭证。

为了能够满足师生“单点登录、多点漫游”的需求，提高了师生访问应用系统的便捷性和安全性［2］。

本文以某高校为研究对象，部署了统一身份认证平台认证服务，旨在为其他学校统一身份认证系统的理解、部署及后期维护提供参考。

1统一身份认证平台认证服务环境搭建1.1Tomcat 配置在TOMCAT_HOME/conf/server.xml 中增加如下配置并且在证书生成过程中用到的密码替换掉PASSWORD 。

<Connectorport="443"protocol="org.apache.coyote.http11.Http11NioProtocol"SSLEnabled="true"maxThreads="200"scheme="https"secure="true"clientAuth="false"sslProtocol="TLS"keystoreFile="../server.keystore"keystorePass="PASSWORD"/>1.2Mysql 数据库配置在WEB-INF/deployerConfigContext.xml 中增加如下配置并用数据库的IP 地址取代DB_IP ，数据库的用户名和密码替换掉USERNAME 和PASSWORD 。

统一身份认证（CAS）简单说明与设计方案统一身份认证（CAS）简单说明与设计方案0人收藏此文章, 我要收藏发表于13天前(2012-06-28 16:31) , 已有55次阅读共0个评论1. 单点登录概述所谓单点登录（SSO），只当企业用户同时访问多个不同（类型的）应用时，他们只需要提供自身的用户凭证信息（比如用户名/密码）一次，仅仅一次。

SSO解决方案（比如，CAS）负责统一认证用户，如果需要，SSO也可以完成用户的授权处理。

可以看出，当企业用户在不同的应用间切换时，他们不用再重复地输入自身的用户凭证了。

在实施SSO后，所用的认证操作都将交给SSO认证中心。

现有的SSO 解决方案非常多，比如微软的MSN Passport便是典型的SSO解决方案，各Java EE容器都提供了自身的专有SSO能力。

2. CAS的总体架构1. CAS简介CAS（中央认证服务）是建立在非常开放的协议之上的企业级SSO解决方案。

诞生于2001年，在2002年发布了CAS2.0协议，这一新的协议提供了Proxy（代理）能力，此时的CAS2.0支持多层SSO 能力。

到2005年，CAS成为了JA-SIG旗下的重要子项目。

由于CAS2.0版本的可扩展能力不是非常完美，而且他的架构设计也不是很卓越，为了使得CAS能够适用于更多场合，JA-SIG打算开发出同时遵循CAS1.0和CAS2.0协议的CAS3.X版本。

现在的CAS3全面拥抱Spring技术，比如Spring DI容器和AOP 技术、Spring Web MVC、Spring Web Flow、Spring Ldap Template等。

通常，CAS3由两部分内容构成：CAS3服务器和CAS客户端。

由于CAS2.0协议借助于XML数据结构与客户进行交互，因此开发者可以使用各种语言编写的CAS3客户与服务器进行通信。

CAS3服务器采用纯Java开发而成，它要求目标运行环境实现了Servlet2.4+规范、提供Java SE 1.4+支持。

UCAS统一身份认证系统使用说明中国科学技术大学网络信息中心UCAS使用说明1.UCAS的基本用法校园UCAS的服务地址是：，端口是默认的443。

UCAS完全兼容JASIG CAS，接入的应用系统可以直接使用JASIG CAS 的客户端程序，不需要自己开发客户端。

具体使用方法可以参考CAS客户端的使用说明。

UCAS使用UTF-8编码。

在使用以前，建议开发人员读一下CAS的原理。

有兴趣的话，也可以读一下CAS的协议。

1.1. UCAS返回的用户属性Ucas默认返回用户的当前登录使用的用户名。

UCAS返回的扩展用户属性。

email 邮箱地址name 姓名gid gidzjhm 证件号码指工资号或学号请注意：并不是每个应用都会返回所有这些数据项。

我们会根据应用系统的不同，调整返回哪些属性。

其中GID是肯定返回的。

1.2. php客户端使用方法举例//统一身份认证服务器的参数$cas_host="";$cas_port=443;$cas_context="";//加载客户端程序require_once 'userLib/php-CAS-1.3.2/CAS.php';//初始化客户端phpCAS::proxy(CAS_VERSION_2_0, $cas_host, $cas_port, $cas_context);//手动设置回调的地址。

如果不手动设置，php客户端会自动计算。

//一般情况下，php客户端自动计算的地址是可以使用的。

只有当自动计算出问题时，//需要手动设置。

$url="http://".$_SERVER["HTTP_HOST"].$_SERVER['PHP_SELF'];phpCAS::setFixedServiceURL($url);//设置客户端不验证服务器端的证书。

//因为服务器端暂时还没有申请到证书，所以需要这个设置phpCAS::setNoCasServerValidation();//设置是否开启客户端的debug功能。

第 33 卷第3期2013 年 6 月广东海洋大学学报 Journal of Guangdong Ocean UniversityVol.33 No.3 Jun. 2013基于 JA-SIG CAS 统一认证平台(SSO)的设计与实现李建佳，王 晶( 广东海洋大学信息学院，广东 湛江 524088 )摘要：基于 JA-SIG CAS 框架，设计、实现了一个单点登录统一认证平台，为大型网站提供安全统一的用户身份认证服务。

统一认证平台分为 SSO CAS 服务器端和 CAS 客户端，服务器端采用 SSL 加密协议的 https 方式部署， 客户端采用 http 方式部署。

平台运用 Spring Securit、 Spring Remote、 Hibernate3、 Struts 2.2 等技术， 以及 PGTIOU(代 理授权许可证索引)、PGT(代理授权许可证)、PT(代理许可证)、ST(服务许可证)、TGC(Ticket 凭证存放 cookie)等关 键数据结构，实现统一身份认证的服务票据生成、授权、检查、保存、发送等，提供单点登录服务。

关键词：JA-SIG CAS；SSO；统一认证；单点登录 中图分类号：TP 393 文献标志码：A 文章编号：1673-9159（ 2013）03-0078-06Design and Implementation of the Unified Authentication Platform (SSO) Based on JA-SIG CASLI Jian-Jia, WANG Jing (College of Information, Guangdong Ocean University, Zhanjiang 524088, China ) Abstract: Based on the JA-SIG CAS framework, a single sign-on unified authentication platform is designed and realized, it provides secure and unified user’s identity authentication service for big web site. The unified authentication platform consists of SSO CAS server and CAS client. The server is deployed by using HTTPS format of SSL ENCRYPTION PROTOCOL and the client is deployed by using HTTP format. The platform adapts Spring Securit, Spring Remote, Hibernate3 and Struts 2.2, etc., as well as the critical data structures of PGTIOU (proxy-granting ticket IOU), PGT (proxy-granting ticket), PT (proxy ticket), ST (service ticket), TGC (ticket-granting cookie) to the platform in order to realize the service bill generation, authorization, check, save and send on the unified identity authentication server to provide an single sign-on service. Key words: JA-SIG CAS; SSO; unified authentication; single sign-on 对一个大型网络，它们的子系统都是单独存在 的，比如，新浪门户网站和新浪博客服务、163 门 户网站和 163 邮箱服务等，各子系统对应不同的域 名。

统一身份认证-CAS配置实现一、背景描述随着信息化的迅猛发展，政府、企业、机构等不断增加基于Internet/lntranet的业务系统，如各类网上申报系统，网上审批系统，OA系统等。

系统的业务性质，一般都要求实现用户管理、身份认证、授权等必不可少的安全措施，而新系统的涌现，在与已有系统的集成或融合上，特别是针对相同的用户群，会带来以下的问题：1、每个系统都开发各自的身份认证系统，这将造成资源的浪费，消耗开发成本，并延缓开发进度；2、多个身份认证系统会增加系统的管理工作成本；3、用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨；4、无法实现统一认证和授权，多个身份认证系统使安全策略必须逐个在不同的系统内进行设置，因而造成修改策略的进度可能跟不上策略的变化；5、无法统一分析用户的应用行为因此，对于拥有多个业务系统应用需求的政府、企业或机构等，需要配置一套统一的身份认证系统，以实现集中统一的身份认证，并减少信息化系统的成本。

单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游、即插即用、应用无关”的目标，方便用户使用。

二、CAS简介CAS( Ce ntral Authe nticati on Service )，是耶鲁大学开发的单点登录系统(SSO single sign-on )，应用广泛，具有独立于平台的，易于理解，支持代理功能。

CAS S统在各个大学如耶鲁大学、加州大学、剑桥大学、香港科技大学等得到应用。

Spring Framework的Acegi安全系统支持CAS并提供了易于使用的方案。

Acegi安全系统，是一个用于Spring Framework的安全框架，能够和目前流行的Web容器无缝集成。

它使用了Spring的方式提供了安全和认证安全服务，包括使用Bean Context，拦截器和面向接口的编程方式。

因此，Acegi 安全系统能够轻松地适用于复杂的安全需求。

基于JA-SIG CAS统一认证平台的设计和实现
蔡永州;吴敏
【期刊名称】《现代远程教育研究》
【年(卷),期】2010(000)001
【摘要】在教育、政府、企事业等大型机构中,存在系统多、管理分散的问题.单点登录(SSO)是解决大型机构内多个应用系统统一用户身份认证的有效技术.JA-SIG CAS使用Java实现,是用于Web的SSO协议.为了实现多网站统一认证,分析单点登录服务软件JA-SIG CAS和CAS认证过程,并结合平台功能需求和安全性考虑,设计和实现基于JA-SIG CAS的统一认证平台,并针对应用系统给出相应的集成方案.【总页数】5页(P68-72)
【作者】蔡永州;吴敏
【作者单位】中国科学技术大学现代教育技术中心,安徽合肥,230026;中国科学技术大学现代教育技术中心,安徽合肥,230026
【正文语种】中文
【中图分类】G434
【相关文献】
1.基于Portal的商业WiFi业务统一认证平台设计与实现 [J], 徐苑苑
2.基于SunTone方法论的统一认证平台设计与实现 [J], 李志华;谢晓玲
3.基于JA-SIG CAS统一认证平台（SSO）的设计与实现 [J], 李建佳;王晶
4.基于H3C CAS平台的教务管理系统设计与实现 [J], 荣玮;米珍;徐志鹏
5.基于H3C CAS平台的教务管理系统设计与实现 [J], 荣玮;米珍;徐志鹏
因版权原因，仅展示原文概要，查看原文内容请购买。

1.1. 统一身份认证系统通过统一身份认证平台，实现对应用系统的使用者进行统一管理。

实现统一登陆，避免每个人需要记住不同应用系统的登陆信息，包含数字证书、电子印章和电子签名系统。

通过综合管理系统集成，实现公文交换的在线电子签章、签名。

统一身份认证系统和SSL VPN、WEB SSL VPN进行身份认证集成。

2. 技术要求✧基于J2EE实现，支持JAAS规X的认证方式扩展✧认证过程支持S，以保障认证过程本身的安全性✧支持跨域的应用单点登陆✧支持J2EE和.NET平台的应用单点登陆✧提供统一的登陆页面确保用户体验一致✧性能要求：50并发认证不超过3秒✧支持联合发文：支持在Office中加盖多个电子印章，同时保证先前加盖的印章保持有效，从而满足多个单位联合发文的要求。

✧支持联合审批：支持在Office或者网页〔表单〕中对选定的可识别区域内容进行电子签名，这样可以分别对不同人员的审批意见进行单独的电子签名。

✧Office中批量盖章：支持两种批量签章方式：⏹用户端批量盖章；⏹服务器端批量盖章。

✧网页表单批量签章：WEB签章提供批量表单签章功能，不需要打开单个表单签章，一次性直接完成指定批量表单签章操作，打开某一表单时，能正常显示签章，并验证表单完整性。

✧提供相应二次开发数据接口：与应用系统集成使用，可以控制用户只能在应用系统中签章，不能单独在WORD/EXCEL中签章，确保只有具有权限的人才可以签章,方便二次开发。

✧满足多种应用需求：电子签章客户端软件支持MS Office、WPS、永中Office、Adobe PDF、AutoCAD等常用应用软件环境下签章，网页签章控件或电子签章中间件则为几乎所有基于数据库的管理信息系统提供了电子签名中间件。

因此可以满足机构内几乎所有的对电子印章应用的现实和潜在需求。

✧跨平台部署：后台服务器软件采用JAVA技术开发，具有良好的跨平台性，可以部署到各种操作系统平台下。

✧集中部署、分级管理：集团性机构可以部署统一的电子印章管理和认证平台，电子印章可以由总部机构或者各个子、分公司管理。

JA-SIG CAS业务架构介绍背景知识：什么是SSO（Single Sign On）单点登录：所谓单点登录是指基于用户/会话认证的一个过程，用户只需一次性提供凭证（仅一次登录），就可以访问多个应用。

目前单点登录主要基于Web的多种应用程序，即通过浏览器实现对多个B/S架构应用的统一账户认证。

JA-SIG（CAS）的设计愿景：简单的说，CAS（Central Authentication Service –中心认证服务）的目的就是使分布在一个企业内部各个不同异构系统的认证工作集中在一起，通过一个公用的认证系统统一管理和验证用户的身份。

在CAS上认证的用户将获得CAS颁发的一个证书，使用这个证书，用户可以在承认CAS证书的各个系统上自由穿梭访问，不需要再次的登录认证。

打个比方：对于加入欧盟的国家而言，在他们国家中的公民可以凭借着自己的身份证，在整个欧洲旅行，不用签证。

对于企业内部系统而言，CAS就是这个颁发欧盟认证的系统，其它系统都是加入欧盟的国家，它们要共同遵守和承认CAS的认证规则。

因此CAS的设计愿景就是：1。

实现一个易用的、能跨不同Web应用的单点登录认证中心；2。

实现统一的用户身份和密钥管理，减少多套密码系统造成的管理成本和安全漏洞；3。

降低认证模块在IT系统设计中的耦合度，提供更好的SOA设计和更弹性的安全策略CAS1.0服务架构实现：传统的用户认证流程我们以A公司的员工日志管理系统为例，如下图：使用CAS后的用户认证流程示意图中，CAS相关部分被标示为蓝色。

在这个流程中，员工AT向日志系统请求进入主页面，他的浏览器发出的HTTP请求被嵌入在日志系统中的CAS客户端（HTTP过滤器）拦截，并判断该请求是否带有CAS的证书；如果没有，员工AT 将被定位到CAS的统一用户登录界面进行登录认证，成功后，CAS将自动引导AT返回日志系统的主页面。

CAS的程序逻辑实现要完成上述的认证业务，CAS需要一个认证中心服务器CAS -Server和嵌入在不同业务系统方的认证客户端CAS-Client的协同。

基于CAS和Liferay门户的统一身份认证系统CHEN Guo-hui;TAN Hai-bo;LYU Bo;LI Xiao-feng【期刊名称】《计算机技术与发展》【年(卷),期】2018(028)012【摘要】统一身份认证系统是提供了用户身份信息库和接口服务以供其他应用系统接入,并验证用户身份的系统.通过对目前主流单点登录系统、单位内用户权限与组织架构数据库系统需求多样化的特点的介绍和对比,选择通过集成CAS单点登录系统与Liferay门户框架,设计和实现统一身份认证系统,来解决单位当前存在的多应用系统用户账户不统一,以及由此导致的冗余信息管理困难的问题.系统设计分为数据库系统、CAS单点登录系统和Liferay门户三部分,并具体给出了每部分的重点设计环节和实现过程,完成一次登录即可使用多个子系统,并实现统一的信息及应用集成,达到消除业务共享不畅的目的.该系统不仅提供统一的用户界面和集成的应用资源,还由于其高度的可配置性和扩展性,方便开发人员根据需要研发新的应用,便于管理人员对系统中的用户、组织、角色和站点进行管理,同时也有利于用户进行个性化定制,满足各方面使用和管理需求,起到更加充分利用网络资源的作用.【总页数】5页(P106-110)【作者】CHEN Guo-hui;TAN Hai-bo;LYU Bo;LI Xiao-feng【作者单位】【正文语种】中文【中图分类】TP302【相关文献】1.基于校园信息门户的统一身份认证系统 [J], 袁先珍;崔益峰2.基于LDAP的CAS的校园统一身份认证系统的研究 [J], 孙甲泉3.基于CAS的校园统一身份认证系统的设计与实现 [J], 李莉4.基于CAS的统一身份认证系统的研究与实现 [J], 张洁;龙辉5.基于CAS的校园统一身份认证系统部署 [J], 郑健因版权原因，仅展示原文概要，查看原文内容请购买。