基础概念

SSO 单点登录（Single sign-on）是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。（来自百度百科）

CAS 中央认证服务（Central Authentication Service）
CAS是一种针对Web的企业多语言单点登录解决方案，并试图成为您的认证和授权需求的综合平台。（https://github.com/apereo/cas）
CAS是一个企业级的开放源代码单点登录解决方案，包含Java服务器组件和各种用PHP，PL / SQL，Java等多种语言编写的客户端库。（https://wiki.jasig.org/display/CASUM/Introduction）

Kerberos 是一种计算机网络 认证协议。（来自wiki）

OpenID 是一种开放标准和分散的认证协议。

OAuth 是一种访问授权的开放标准。

SAML 安全断言标记语言（Security Assertion Markup Language） 是一种开放标准，用于在认证和授权数据之间交换身份验证和授权数据

LDAP 轻量级目录访问协议（Lightweight Directory Access Protocol ）

CAS 协议

https://apereo.github.io/cas/5.1.x/protocol/CAS-Protocol.html
http://www.coin163.com/java/cas/cas.html

Kerberos协议

完整的Kerberos认证协议

TODO 后续补充
http://gost.isi.edu/publications/kerberos-neuman-tso.html
http://blog.csdn.net/wulantian/article/details/42418231

OAuth 2.0的运行流程

OAuth 2.0的运行流程如下图，摘自RFC 6749。

OAuth 2.0的运行流程图

（A）用户打开客户端以后，客户端要求用户给予授权。
（B）用户同意给予客户端授权。
（C）客户端使用上一步获得的授权，向认证服务器申请令牌。
（D）认证服务器对客户端进行认证以后，确认无误，同意发放令牌。
（E）客户端使用令牌，向资源服务器申请获取资源。
（F）资源服务器确认令牌无误，同意向客户端开放资源。

授权码模式

授权码模式运行流程图

（A）用户访问客户端，后者将前者导向认证服务器。
（B）用户选择是否给予客户端授权。
（C）假设用户给予授权，认证服务器将用户导向客户端事先指定的"重定向URI"（redirection URI），同时附上一个授权码。
（D）客户端收到授权码，附上早先的"重定向URI"，向认证服务器申请令牌。这一步是在客户端的后台的服务器上完成的，对用户不可见。
（E）认证服务器核对了授权码和重定向URI，确认无误后，向客户端发送访问令牌（access token）和更新令牌（refresh token）。
https://oauth.net/2/
http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html

关键技术

对称加密 DES AES
非对称加密 RSA
散列算法 MD5 SHA/SHA-1
数据签名
数据证书
HTTPS/SSL
Spring Security

其他相关

多因素认证