一、单点登录的概念

      单点登录（SSO）英文全称Single Sign On，单点登录。SSO是在多个应用系统中，只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一 个的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。

     简单的 SSO 的体系中，会有下面三种角色：    1 、 User （多个）    2 、 Web 应用（多个）    3 、 SSO 中心（1 个）

     虽然 SSO 实现模式千奇百怪，但万变不离其宗：

1） Web 应用不处理 User 的登录，否则就是多点登陆了，所有的登录都在 SSO 认证中心进行。

2） SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是谁。

3） SSO 认证中心和所有的Web 应用建立一种信任关系，SSO 认证中心对用户身份正确性的判断会通过某种方法告之Web 应用，而且判断结果必须被Web 应用信任。

二、单点登录原理

       当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该 返回给用户一个认证的凭据－－ticket；用户再访问别的应用的时候，就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把 ticket送到认证系统进行效验，检查ticket的合法性。如果通过效验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

      CAS单点登录原理图：

三、CAS  单点登录

        1.SSL配置

        先在CAS官方上下载cas server，解压后找到在modules文件夹中找到cas-server-webapp-3.4.11.war，将文件名更改为cas.war后置于tomcat应用目录下。

        因为CAS的验证需要通过SSL来完成，所以SSL对于CAS来说是必须的,SSL的配置不是本文的重点，我们只是做简要的介绍。

        我们执行路径为{JAVA_HOME}/jre/bin（这样的目的是避免{JAVA_HOME}路径的不一致造成干扰），比如到:\Program Files\Java\jdk1.5.0_12\jre\bin目录下，我们假定{TOMCAT_HOME}为D:\apache-tomcat- 6.0.16。

1)   生成名称为tomcat的服务器端密钥并保存到密钥库文件server.keystore中

keytool -genkey -alias tomcat -keypass huateng -keyalg RSA -keystore D:\apache-tomcat-6.0.16\server.keystore -storepass      huateng

              参数说明如下：

ü  keystore： 密钥库文件，如果没有指定位置的情况下，keystore文件会存在用户的系统默认目录，如：对于Windows XP系统，会生成在系统的C:\Documents and Settings\UserName\目录下，文件名为".keystore" 

ü  alias：自定义名称，此处取tomcat；

ü  genkey：生成密钥

ü  keyalg: 密钥算法,主要两种方式：RSA采用MD5加RSA算法加密密钥，DSA 采用SHA1加DSA算法加密密钥，此处采用RSA；

ü  keypass：密钥密码

ü  storepass:密钥库密码

    注 意：当系统提示输入“您的名字与姓氏是什么”时，此时应输入本机的域名或者直接输入单点登录服务器的IP，如myhostname，最后就用来测试配置是 否成功。域名配置参见：C:\WINDOWS\system32\drivers\etc下的hosts文件(增加一个本地名描述 127.0.0.1  myhostname)；如果不想如此麻烦，此处只要简单输入localhost即可。

2)   导出别名为tomcat的密钥的证书server.crt

             keytool -export -alias tomcat -file server.crt -keystore D:\apache-tomcat-6.0.16\server.keystore

3)   导入证书server.crt到jvm的信任库（JVM的信任库为cacerts，位置在{JAVA_HOME}/jre/lib/security/cacerts，默认密码为changeit）

             keytool -import -alias tomcat -file server.crt -keystore ../lib/security/cacerts

     2.   

            在上述步骤中生成的证书库server.keystore已经存在{TOMCAT_HOME}目录下面。找到{TOMCAT_HOME}\conf\server.xml文件，解开SSL的注释。

           port="8443" minSpareThreads="5" maxSpareThreads="75"   

           enableLookups="true" disableUploadTimeout="true"     

           acceptCount="100"  maxThreads="200"   

           scheme="https" secure="true" SSLEnabled="true"   

           clientAuth="false" sslProtocol="TLS"   

           keystoreFile="D:/apache-tomcat-6.0.16/server.keystore" storetype="JKS"       keystorePass="huateng"/>

此处主要更改keystoreFile和keystorePass属性项，keystoreFile为步骤1）中所生成的文件。

    完成后，启动Tomcat,如果能通过能访问系统，说明Tomcat SSL配置成功。