1编号： 西南财经大学天府学院院级科研项目结 项 表项 目 名 称 基于 CAS 的单点登录系统集成 立项批准号 项 目 类 别 信 息 化 建 设 项 目 所 在 单 位 现 代 技 术 中 心 项目负责人 吴希敏 填表日期 2011 年 11 月 15 日2一、基本情况项 目 名 称 基于 CAS 的单点登录系统集成最终成果名称 基于 CAS 的单点登录系统集成 总结批准经费 实拨经费 经费支出原计划完成时间 2011 年 5 月 实际完成时间 2011 年 4月 鉴定时间 年 月原计划成果形式 总结报告 现成果形式 总结报告 成果字数结 项 种 类 A正常 B提前 C延期 报送成果套数（计划）出版时间、 单位未能出版原因该成果转摘、引用情 况 无项目负责人及主要参加人员简况姓 名 吴希敏 性别 男 民族 汉 出生年月 1972.9所在单位 现代技术中心 行政职务 副主任 专业职称负责人研究专长 信息化建设 学历 本科 学位 学士 联系电话 13547133266姓 名 单 位 职 称 职 务 研究方向 承担任务徐鸿雁 信息中心一 讲师 网络多媒体技术 1项目代码实现袁勋 现代技术中心 工程师 主任 信息系统规划与设计项目功能设计主要参加人员吴希敏 现代技术中心 工程师 副主任 信息化建设实施技术项目详细设计及代码实现3二、阶段性成果一览表序号 作 者 出版或发表题目 出版或发表单位及时间123三、最终成果简介主要内容与要求提示（可加附页）：本项目的实施完成是学院信息化建设很重要的一个环节，主要成果如下(1)方便用户用户使用应用系统时，能够一次登录，多次使用。用户不再需要每次输入用户名称和用户密码，也不需要牢记多套用户名称和用户密码。单点登录平台能够改善用户使用应用系统的体验。(2)方便管理员系统管理员只需要维护一套统一的用户账号，方便、简单。相比之下，系统管理员以前需要管理很多套的用户账号。每一个应用系统就有一套用户账号，不仅给管理上带来不方便，而且，也容易出现管理漏洞。(3)简化应用系统开发开发新的应用系统时，可以直接使用单点登录平台的用户认证服务，简化开发流程。单点登录平台通过提供统一的认证平台，实现单点登录。因此，应用系统并不需要开发用户认证程序。(4)方便的使用多个应用系统目前 CAS 集成了如下应用系统：办公自动化（OA）系统；教学综合管理系统；PeopleSoft 学生管理系统；MOODEL 辅助教学系统；ELN 学习平台；一查通查询系统，用户通过 CAS SSO 登录方式登录任何一应用系统或者通过单点登录门户登录后，用户可以在不再次登录的情况下随意切换使用其它应用系统。真正实现了多系统单点登录和统一身份认证。4(5)多校区用户使用目前该系统能同时满足绵阳校区和成都校区内个多系统的单点登录需求，用户在使用 CAS 登录切换系统时，不同校区学生访问使用各自的应用系统平台。项目名称：基于 CAS 的单点登录系统集成最终成果名称：基于 CAS 的单点登录系统集成总结是否出版：无四、总结报告5主要内容提示、成果内容以及主研方法有何特色、有何突破、有何学术价值和应用价值；有何不足和问题；有何问题尚需深入研究。学院信息化系统CAS(http:/sso.tf-swufe.net)至今已运行两个学期。目前该系统服务于绵阳校区和成都校区的所有学生和教职工，该系统门户页面为用户提供如下信息：1、多个已经实现单点登录的系统链接，2、学院规章制度、办事流程，3、新邮件提示，4、我的公文、教务公告、教务公文，5、自主服务、内部资源服务和个人助手等链接服务。基于 CAS 的单点登录系统中应用 LDAP 集中管理用户，为单点登录提供用户认证凭证。CAS 系统架构中包含 CAS Server、CAS Client 和 LDAP 数据库。CAS Server 负责完成对用户的认证工作，CAS Server 会处理用户和密码凭证，将用户提供的用户密码信息与 LDAP 数据库中用户密码数据比对，实现用户认证。CAS Client 就是指系统中集成的应用系统：办公自动化（OA）系统；教学综合管理系统；PeopleSoft 学生管理系统；MOODEL 辅助教学系统；ELN 学习平台；一查通查询系统等。CAS Client 各系统原有的本地认证机制依然保留，我们在对各系统集成时新建认证环节，系统认证会转向 CAS Server 中心进行认证。CAS Client 以 Filter 方式保护 web 应用的受保护资源，过滤从客户端过来的每一个 web 请求，同时，CAS Client 会分析 HTTP 请求中是否包含 Service Ticket，如果没有，则说明用户是没有认证过的，于是 CAS Client 会重定向用户请求到CAS Server，如果用花在 CAS Server 认证成功后， CAS Server 会随机产生 Service Ticket,然后缓存该 Ticket,并且重定向到 CAS Client(附带刚才产生的 Server Ticket),然后 CAS Client 和 CAS Server 之间进行身份核实，用 Ticket 查到用户名，然后 CAS Client 以Ticket 查到用户名登录进入系统。基于 CAS 的单点登录系统实现了 ASP、ASP.NET、JAVA、PHP 等客户端的系统集成。项目建设的主要工作如下：1、CAS Server 与 LDAP 集成认证环境。修改 deployerConfigContext.xml 文件。+6ldap:/10.9.9.5:389/java.naming.security.protocolnonejava.naming.security.authenticationsimple2、建立 LDAP 数据库，建立学生和教职工统一认证数据中心。3、应用系统 CAS Client 相关配置（1） JAVA 应用系统 web.xml 配置修改CAS Single Sign Out Filterorg.jasig.cas.client.session.SingleSignOutFilterCAS Authentication Filterorg.jasig.cas.client.authentication.AuthenticationFiltercasServerLoginUrlhttps:/urp.tf-swufe.net:8443/cas/login7serverNamehttp:/sso.tf-swufe.netCAS Validation Filterorg.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFiltercasServerUrlPrefixhttps:/urp.tf-swufe.net:8443/casserverNamehttp:/sso.tf-swufe.netexceptionOnValidationFailurefalseredirectAfterValidationtrueCAS HttpServletRequest Wrapper Filterorg.jasig.cas.client.util.HttpServletRequestWrapperFilter8CAS Single Sign Out Filter/*CAS Authentication Filter/*CAS Validation Filter/*CAS HttpServletRequest Wrapper Filter/*（2） ASP 系统修改登录文件 thenurl=Replace(request.querystring(url),*_*,&)session(url)=urlEnd IfIf request.querystring(bianhao) Thenidnum=request.querystring(idnum)session(idnum)=idnumEnd ifDim casServercasServer = urp.tf-swufe.net:8443/cas/Declare additional variables used for redirectDim originatingURL, caseNetworkID9Construct the originatingURL variable based on ServerVariablesoriginatingURL = http:/teaching.tf-swufe.net&Request.ServerVariables(URL)Check to see if the ticket variable was passed via the query stringif Request.QueryString(ticket) = ThenIf no, then redirect to CASResponse.Redirect(https:/ & casServer & login?service= & originatingURL)elseDim objSvrHTTP, ticket, casResponse, casResponseArrayticket = Request.QueryString(ticket)Set objSvrHTTP = Server.CreateObject(Msxml2.ServerXMLHTTP.6.0)Set objSvrHTTP = Server.CreateObject(Msxml2.ServerXMLHTTP.4.0)response.write nowobjSvrHTTP.open GET, https:/ & casServer & /validate?ticket=+ ticket +&service= & originatingURL, FalseobjSvrHTTP.setRequestHeader Content-Type, application/x-www-form-urlencodedobjSvrHTTP.setRequestHeader Connection, Keep-AliveobjSvrHTTP.setOption(2) = 13056objSvrHTTP.sendcasResponse = objSvrHTTP.responseTextcasResponseArray = Split(casResponse, Chr(10), -1, 1)if casResponseArray(0) = no thenResponse.Redirect(https:/ & casServer & /login?service= & originatingURL)ElsecaseNetworkID = casResponseArray(1)session(user_id)=caseNetworkID %（3） ASP.NET 系统修改登录部分Imports System.Data.SqlClientImports System.IOImports System.NetImports System.XmlImports System.Se