单点登录SSO（Single Sign On）说得简单点就是在一个多系统共存的环境下，用户在一处登录后，就不用在其他系统中登录，也就是用户的一次登录能得到其他所有系统的信任。单点登录在大型网站里使用得非常频繁，例如像阿里巴巴这样的网站，在网站的背后是成百上千的子系统，用户一次操作或交易可能涉及到几十个子系统的协作，如果每个子系统都需要用户认证，不仅用户会疯掉，各子系统也会为这种重复认证授权的逻辑搞疯掉。实现单点登录说到底就是要解决如何产生和存储那个信任，再就是其他系统如何验证这个信任的有效性，因此要点也就以下两个：

存储信任
	
验证信任
如果一个系统做到了开头所讲的效果，也就算单点登录，单点登录有不同的实现方式，本文就罗列我开发中所遇见过的实现方式。

以Cookie作为凭证媒介 

最简单的单点登录实现方式，是使用cookie作为媒介，存放用户凭证。 

用户登录父应用之后，应用返回一个加密的cookie，当用户访问子应用的时候，携带上这个cookie，授权应用解密cookie并进行校验，校验通过则登录当前用户。



不难发现以上方式把信任存储在客户端的Cookie中，这种方式很容易令人质疑：

Cookie不安全
	
不能跨域实现免登
对于第一个问题，通过加密Cookie可以保证安全性，当然这是在源代码不泄露的前提下。如果Cookie的加密算法泄露，攻击者通过伪造Cookie则可以伪造特定用户身份，这是很危险的。 

对于第二个问题，更是硬伤。

通过JSONP实现 

对于跨域问题，可以使用JSONP实现。 

用户在父应用中登录后，跟Session匹配的Cookie会存到客户端中，当用户需要登录子应用的时候，授权应用访问父应用提供的JSONP接口，并在请求中带上父应用域名下的Cookie，父应用接收到请求，验证用户的登录状态，返回加密的信息，子应用通过解析返回来的加密信息来验证用户，如果通过验证则登录用户。



这种方式虽然能解决跨域问题，但是安全性其实跟把信任存储到Cookie是差不多的。如果一旦加密算法泄露了，攻击者可以在本地建立一个实现了登录接口的假冒父应用，通过绑定Host来把子应用发起的请求指向本地的假冒父应用，并作出回应。 

因为攻击者完全可以按照加密算法来伪造响应请求，子应用接收到这个响应之后一样可以通过验证，并且登录特定用户。

通过页面重定向的方式 

最后一种介绍的方式，是通过父应用和子应用来回重定向中进行通信，实现信息的安全传递。 

父应用提供一个GET方式的登录接口，用户通过子应用重定向连接的方式访问这个接口，如果用户还没有登录，则返回一个的登录页面，用户输入账号密码进行登录。如果用户已经登录了，则生成加密的Token，并且重定向到子应用提供的验证Token的接口，通过解密和校验之后，子应用登录当前用户。



这种方式较前面两种方式，接解决了上面两种方法暴露出来的安全性问题和跨域的问题，但是并没有前面两种方式方便。 

安全与方便，本来就是一对矛盾。

使用独立登录系统 

一般说来，大型应用会把授权的逻辑与用户信息的相关逻辑独立成一个应用，称为用户中心。 

用户中心不处理业务逻辑，只是处理用户信息的管理以及授权给第三方应用。第三方应用需要登录的时候，则把用户的登录请求转发给用户中心进行处理，用户处理完毕返回凭证，第三方应用验证凭证，通过后就登录用户。

本文转载自JC_Huang 

原文链接：http://www.jianshu.com/p/613e44d4a464

Shiro 1.2 开始提供了 Jasig CAS 单点登录的支持，单点登录主要用于多系统集成，即在多个

 

 

系统中，用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个，无须多

 

 

次登录。此处我们使用 Jasig CAS v4.0.0-RC3 版本：

 

 

https://github.com/Jasig/cas/tree/v4.0.0-RC3

 

 

Jasig CAS 单点登录系统分为服务器端和客户端，服务器端提供单点登录，多个客户端（子

 

 

系统）将跳转到该服务器进行登录验证，大体流程如下：

 

 

1、访问客户端需要登录的页面 http://localhost:9080/ client/，此时会跳到单点登录服务器

 

 

https://localhost:8443/ server/login?service=https://localhost:9443/ client/cas；

 

 

2、如果此时单点登录服务器也没有登录的话，会显示登录表单页面，输入用户名/密码进

 

 

行登录；

 

 

3 、登录 成 功 后 服务器 端 会 回 调 客户端 传 入 的 地 址 ：

 

 

https://localhost:9443/client/cas?ticket=ST-1-eh2cIo92F9syvoMs5DOg-cas01.example.org，且带

 

 

着一个 ticket；

 

 

4、客户端会把 ticket 提交给服务器来验证 ticket 是否有效；如果有效服务器端将返回用户

 

 

身份；

 

 

5、客户端可以再根据这个用户身份获取如当前系统用户/角色/权限信息。

 

 目录

    一、简介

    二、生成证书

    三、配置服务端

   四、配置客户端

   五、常见问题说明

    一、简介

                1、cas是有耶鲁大学研发的单点登录服务器

                 2、本教材所用环境

 

Tomcat7.2
	
JDK6
	
CAS Service 版本    cas-server-3.4.8-release
	
CAS Client版本      cas-client-3.2.1-release                                
 

    二、生成证书

                            证书对于实现此单点登录非常之重要，证书是服务器端和客户端安全通信的凭证，本教程只是演示，所有用了

                    JDK自带的证书生成工具keytool。当然在实际项目中你可以到专门的证书认证中心购买证书。

                            中文官方网站：http://www.verisign.com/cn/

                   1、用JDK自带的keytool生成证书

                            

命令：keytool -genkey -alias  smalllove -keyalg RSA -keystore D:/keys/smallkey

                   此命令是生成一个证书，其中 smalllove 是证书别名

 

     此命令的执行如图所示：

                    

                      其中名字与姓氏这一最好写你的 域名，如果在单击测试你可以在C:\Windows\System32\drivers\etc\hosts文件中映射一个虚拟域名，

              注意不要写IP。

           2、导出证书

                

命令：C:\>keytool -export -file d:/keys/small.crt -alias smalllove -keystore d:/keys/smallkey

                如图：

 

                      

               密码为上步设置的密码。

           3、把证书导入到客户端JDK中。

                

命令：keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove

           此命令是把证书导入到JDK中。

 

           如图：

            

          到此证书导入成功。

           注意：在此步有可能出现如下错误

     

           C:\>keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove
              输入keystore密码：
            keytool错误： java.io.IOException: Keystore was tampered with, or password was incorrect

                     次错误的解决方法是，把%JAVA_HOME%\lib\security下的cacerts文件删除掉，在执行。

 

                 

    三、配置服务端

                      1、 下载CAS的服务端，解压，把解压后的文件中modules文件夹中的cas-server-webapp-3.4.8.war文件拷贝的%TOMCAT_HOME%\webapps

               下，并修改文件名为：cas.war。

                             源码下载地址：https://github.com/Jasig/cas/releases

                      2、修改%TOMCAT_HOME%\conf\server.xml文件

                               去掉此文件83到93行之间的注释，修改为：

                       

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
			   keystoreFile="D:/keys/smallkey"  <!--在2.1中生成的证书的位置-->
			   keystorePass="smalllove"/>       <!--在2.1中设置的密码-->

                     3、以上配置完成访问http://yourhost:8443/cas出现一下页面

 

                                   

                          点击继续浏览会出现

                                         

                         输入用户名admin和密码admin登录则会出现

                                      

                         登录成功。

                         至此，说明服务端配置成功。

   四、配置客户端

                   1、添加客户端到你的项目中

                          ·手动下载下载cas-client，地址：http://downloads.jasig.org/cas-clients/，然后解压cas-client-3.1.12.zip，在modules文件夹中有需要的jar包，                         请根据自己的项目情况选择使用，把相应的jar包放到你项目WEB-INF/lib下。

                   ·使用maven

                              

<!-- cas -->
<dependency>
	<groupId>org.jasig.cas.client</groupId>
	<artifactId>cas-client-core</artifactId>
	<version>3.1.12</version>
</dependency>

                2、在客户端项目的web.xml配置过滤器

                        

<!-- ======================== 单点登录开始 ======================== -->
	<!-- 用于单点退出，该过滤器用于实现单点登出功能，可选配置 -->
	<listener>
		<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
	</listener>

	<!-- 该过滤器用于实现单点登出功能，可选配置。 -->
	<filter>
		<filter-name>CAS Single Sign Out Filter</filter-name>
		<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CAS Single Sign Out Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器负责用户的认证工作，必须启用它 -->
	<filter>
		<filter-name>CASFilter</filter-name>
		<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
		<init-param>
			<param-name>casServerLoginUrl</param-name>
			<param-value>https://www.travel.com:8443/cas/login</param-value>
			<!--这里的server是服务端的IP -->
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<param-value>http://www.travel.com:8080</param-value><span style="color:#FF0000;"> ①</span>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CASFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器负责对Ticket的校验工作，必须启用它 -->
	<filter>
		<filter-name>CAS Validation Filter</filter-name>
		<filter-class>
			org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
		<init-param>
			<param-name>casServerUrlPrefix</param-name>
			<param-value>https://www.travel.com:8443/cas</param-value>
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<param-value>http://www.travel.com:8080</param-value>  <span style="color:#FF0000;">②</span>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>CAS Validation Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器负责实现HttpServletRequest请求的包裹， 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。 -->
	<filter>
		<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
		<filter-class>
			org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
	<filter>
		<filter-name>CAS Assertion Thread Local Filter</filter-name>
		<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CAS Assertion Thread Local Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<!-- ======================== 单点登录结束 ======================== -->

             

 

 

   五、常见问题说明

                  错误一、

                           

         若出现以上错原因是：你在客户端的web.xml中①，②的配置有误。

             错误二、

                         

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: 
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target

                  若出现次错误是有与你客户端的证书有问题。重新导入你证书。