CAS-3 安全概要 为啥cas需要使用https

     CAS是提供单点登录到Web应用程序的安全工具。提供单点登录在安全和便利方面的双赢：它降低密码暴露于一个单一的，可信的凭据的经纪人而透明地访问多个服务提供不重复登录。使用CAS普遍提高了安全环境，但有几个CAS的配置，规则和部署的关注，应考虑到实现适当的安全性。

系统安全性考虑

传输安全 https

与CAS服务器的所有通信必须发生在一个安全的通道（i.e. TLSv1）。主要因为如下两个原因：

  1：身份验证过程需要传输安全凭据。

  2：CAS ticket 批准票是一个承载令牌

由于数据的披露将使假冒攻击，其CAS客户和CAS服务器之间的通信通道的安全是非常重要的。

实际上，这意味着所有的CAS的URL必须使用HTTPS，而且这也意味着，从CAS服务器应用程序的所有连接必须使用HTTPS：

   1:当生成的服务ticket被发送回“服务”的“服务”的应用程序

   2:当一个代理回调的网址被调用。

链接相关依赖系统

CAS通常需要连接到其他系统，如LDAP目录数据库和缓存服务。对应这些系统地我们一般推荐使用安全传输（SSL / TLS，IPSec），但也有可能使安全传输不必要的补偿控制。私人网络和企业网络的接入控制与严格是常见的例外，但建议还是安全传输。客户端证书可以验证LDAP带来足够安全的另一个好办法。
如前所述，必须确保与其他系统的连接。但如果cas服务器部署在几个节点上，同样适用于CAS服务器本身。如果基于缓存的票注册表运行在一个单一的CAS服务器上没有任何安全问题，如果网络不受保护当使用多个节点的时候同步可以成为一个安全问题。如果没有适当的安全其他磁盘存储也是危险的。Ehcache溢出到磁盘可能被关闭以增加保护而先进的数据加密机制应该用于数据库的磁盘存储。