基于CAS的高校智慧校園統一身份認證平臺的研究與實現

湯其妹

摘要：CAS（Central Authentication Service）可以為Web應用系統提供一種可靠的單點登錄方法，應用該方法實現了一個統一身份認證系統，使用戶在訪問多個相互信任的應用系統時，只需要進行一次統一身份驗證過程，而不必重復登錄驗證，大大簡化了用戶訪問網絡資源的過程。特別適用于高校這種業務系統眾多且分散在各個部門的情況。該文從CAS原理、認證流程、實現方式進行了闡述，在CAS部署方面就Server端和Client端分別給出具體的實現方法與詳細步驟。其研究結果對于當前高校信息化建設和發展具有一定的實踐意義。

關鍵詞：統一身份認證;CAS;智慧校園;單點登錄

中圖分類號：G642 文獻標識碼：A

1概述

近年來隨著網絡技術的飛速發展，特別是Web應用系統的流行，高校很多二級部門都針對本部門的業務開發了多個業務應用系統，但大多數仍采用傳統的身份認證方式，即每個應用系統都有各自獨立的身份認證，這種開發模式不僅造成重復開發，還嚴重影響到應用系統的性能及用戶使用的方便性。為了解決這些問題，建立一套統一身份認證系統迫在眉睫。使用統一身份認證系統，用戶只需要輸入一次用戶名和密碼信息，驗證成功后再訪問系統中的其他資源時無須重復登錄。本文基于CAS（Central Authentication SeIvice）實現了統一身份認證系統，為多個相互信任的應用系統提供認證服務的接口，提高了系統的方便性和可操作性，并確保用戶數據信息的隱私和安全。

CAS框架通過Java開發實現，為Web身份驗證提供了解決方案，另外CAS為開源項目，可以方便地對源代碼進行修改從而適應各高校的個性化需求。

2單點登錄及CAS框架介紹

單點登錄和CAS框架是實現統一身份認證平臺的關鍵技術。本小節重點介紹單點登錄、CAS框架的原理及認證流程，并闡述相比較早期登錄技術的優勢。

2.1單點登錄

隨著教育信息化的發展，高校在長期的基礎信息建設過程中已經建成了大量的業務系統，分別是：教務管理系統、電子政務OA系統、財務管理系統、一卡通系統、圖書管理系統、網絡認證計費系統、研究生管理系統等。這些系統分別分散于各個建設單位，長期以來積累的大量的業務數據，方便了各個部門辦公，提升了一定的管理效率。同時，因為這些系統在建設之初，缺乏統一的規劃管理，各個系統的數據存在相互不通的現象，給現在的學校教學、管理工作帶來了一定的困擾。師生用戶進入不同系統需要輸入不同的賬號和密碼，用戶體驗感大大降低，使用率不高，業務系統推廣困難。

單點登錄（Single Sign On，SSO），如果一個多業務系統應用群中部署了單點登錄，則只要一次用戶身份驗證成功，就可以獲取應用群中其他應用系統的訪問控制權限，不需要重復登錄。

單點登錄機制有用戶、web應用和認證中心三個角色，其中認證中心只能有一個，用戶和web應用可以有多個。與傳統的單個系統登錄機制相比較，單點登錄需要一個統一的身份認證中心作為唯一登錄入口來接收用戶提交的賬號、密碼信息，其他web應用間接地從認證中心獲取授權。這種授權通過令牌機制來實現，當用戶的登錄信息認證通過時，認證中心會創建令牌并將其傳遞到各個子系統。從而用戶可以被授權進入各個子系統。

2.2CAS原理及認證流程

CAS是耶魯大學發起的一個開源項目，能很好地實現單點登錄和統一身份認證，其簡單性、時效性、安全性優勢，從而被廣泛應用。用戶通過CAS認證，只需要一次登錄就可以在信任的應用系統間互相訪問。

CAS分為CAS服務器和CAS客戶端兩部分。

1）CAS服務器

服務器端是獨立部署的web服務器，主要負責認證用戶的身份信息，是單點登錄系統中唯一的認證人口。用戶名、密碼等安全信息在CAS認證服務器中稱為用戶憑證。當用戶身份認證完成后，CAS服務器還負責認證訪問各個應用系統所需要的各種票據。

2）CAS客戶端

CAS客戶端通常就是Web應用服務器，CAS客戶端以庫文件形式嵌入到每個應用系統中來實現和服務器端的交互認證。當用戶訪問時，CAS客戶端不直接進行身份認證，而是將請求重定向到CAS服務器端進行統一身份認證。目前，CAS客戶端支持JSP、PHP、ASP.NET等多種客戶端。

當用戶通過瀏覽器訪問CAS客戶端時，客戶端會檢查http或https協議所攜帶的會話參數或是服務器會話中是否攜帶憑證ST（Service Ticket），如果都沒有，CAS客戶端就會重定向用戶的請求到CAS服務器端并傳遞回調地址，CAS服務器端生成TGT（Ticket Granting Ticket）并放入緩存，生成TGC（Ticket Granting Cookie）并寫入客戶端瀏覽器，生成TGT簽發一個ST，根據傳遞的回調地址和ST，用戶再重新訪問CAS客戶端，CAS客戶端根據ST和CAS服務器對用戶身份進行認證。具體認證流程如圖1所示。

3基于CAS統一身份認證平臺的實現

基于Yale-CAS的單點登錄協議，并針對原有系統缺點進行了改進，使得認證和授權分離，并且減輕了認證服務器的負擔，減少了網絡傳輸，方便用戶快速訪問資源。CAS負責簽發證書、認證證書、并對用戶證書進行簽名，以確保證書持有者的身份權限和公鑰的擁有權。

3.1JSP應用接入統一身份認證

Step1.拷貝統一身份認證客戶端所需jar包到應用中;

Step2.配置web.xml文件;

Step3.在應用系統程序中獲取cas登錄后的用戶唯一標識信息及其他信息。

3.2ASP NET應用接入統一身份認證

Step1.拷貝Net CasClient客戶端到應用中;

Step2.修改web.config文件;

Step3.獲取CAS登錄后的用戶唯一標識信息及其他信息;

Step4.退出CAS登錄。

3.3PHP應用接入統一身份認證平臺

Step1.整合CAS PHP客戶端代碼到項目中;

Step2.獲取CAS登錄后返回的唯一標識信息及其他信息;

Step3.配置config.php中CAS配置參數信息;

Step4.接入CAS認證同時獲取登錄后的信息。

以安徽醫科大學為例，已通過單點登錄接人13個業務系統，分別是教務管理系統、教務排課系統、財務管理系統、學工系統、研究生管理系統、電子政務OA系統、資產管理系統、一卡通系統、圖書管理系統、網絡認證計費系統、站群系統、郵件系統、網絡教學平臺。如圖3、圖4所示。

4部署與測試

CAS部署分別對服務器端和客戶端進行部署，部署結構圖見圖5。

4.1server端部署

服務器端運行環境：

操作系統名稱：Cetos