一、CAS入门
1、什么是单点登陆?
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。
2、什么是cas?
CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点:
【1】开源的企业级单点登录解决方案。
【2】CAS Server 为需要独立部署的 Web 应用。
【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
SSO单点登录访问流程主要有以下步骤:
1. 访问服务:SSO客户端发送请求访问应用系统提供的服务资源。
2. 定向认证:SSO客户端会重定向用户请求到SSO服务器。
3. 用户认证:用户身份认证。
4. 发放票据:SSO服务器会产生一个随机的Service Ticket。
5. 验证票据:SSO服务器验证票据Service Ticket的合法性,验证通过后,允许客户端访问服务。
6. 传输用户信息:SSO服务器验证票据通过后,传输用户认证结果信息给客户端。
3、CAS服务器的部署
cas资源地址:https://github.com/apereo/cas
cas的服务器其实就是一个war包。
在cas-server-4.0.0-releasecas-server-4.0.0modules目录下cas-server-webapp-4.0.0.war 将其改名为cas.war放入tomcat目录下的webapps下。
启动tomcat自动解压war包。浏览器输入http://localhost:8080/cas/login ,可看到登录页面
完成将cas服务器部署到tomcat上
这里有个固定的用户名和密码 casuser /Mellon
登录成功后会跳到登录成功的提示页面
4、cas服务端的相关配置
1)可以修改tomcat的端口
打开tomcat 目录 confserver.xml 找到下面的配置
这里修改成 9100
2) 修改CAS配置文件
修改cas的WEB-INF/cas.properties
server.name=http://localhost:9100
3)去除https认证
CAS默认使用的是HTTPS协议,如果使用HTTPS协议需要SSL安全证书(需向特定的机构申请和购买) 。如果对安全要求不高或是在开发测试阶段,可使用HTTP协议。我们这里讲解通过修改配置,让CAS使用HTTP协议。
1 修改cas的WEB-INF/deployerConfigContext.xml
找到下面的配置
<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>
这里需要增加参数p:requireSecure="false",requireSecure属性意思为是否需要安全验证,即HTTPS,false为不采用
2 修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml
找到下面配置
<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" />
参数p:cookieSecure="true",同理为HTTPS验证相关,TRUE为采用HTTPS验证,FALSE为不采用https验证。
参数p:cookieMaxAge="-1",是COOKIE的最大生命周期,-1为无生命周期,即只在当前打开的窗口有效,关闭或重新打开其它窗口,仍会要求验证。可以根据需要修改为大于0的数字,比如3600等,意思是在3600秒内,打开任意窗口,都不需要验证。
我们这里将cookieSecure改为false , cookieMaxAge 改为3600
3 修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml
找到下面配置
<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASPRIVACY" p:cookiePath="/cas" />
我们这里将cookieSecure改为false , cookieMaxAge 改为3600
二、入门Demo
搭建一个简单的Demo,项目目录如下:一个Maven管理的Jar项目
项目pom.xml配置:
1 <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> 2 <modelVersion>4.0.0</modelVersion> 3 <groupId>cn.itcast.demo</groupId> 4 <artifactId>casclient_demo1</artifactId> 5 <version>0.0.1-SNAPSHOT</version> 6 <packaging>war</packaging> 7 8 <dependencies> 9 <!-- cas --> 10 <dependency> 11 <groupId>org.jasig.cas.client</groupId> 12 <artifactId>cas-client-core</artifactId> 13 <version>3.3.3</version> 14 </dependency> 15 16 <dependency> 17 <groupId>javax.servlet</groupId> 18 <artifactId>servlet-api</artifactId> 19 <version>2.5</version> 20 <scope>provided</scope> 21 </dependency> 22 </dependencies> 23 24 <build> 25 <plugins> 26 <plugin> 27 <groupId>org.apache.maven.plugins</groupId> 28 <artifactId>maven-compiler-plugin</artifactId> 29 <version>2.3.2</version> 30 <configuration> 31 <source>1.7</source> 32 <target>1.7</target> 33 </configuration> 34 </plugin> 35 <plugin> 36 <groupId>org.apache.tomcat.maven</groupId> 37 <artifactId>tomcat7-maven-plugin</artifactId> 38 <configuration> 39 <!-- 指定端口 --> 40 <port>9001</port> 41 <!-- 请求路径 --> 42 <path>/</path> 43 </configuration> 44 </plugin> 45 </plugins> 46 </build> 47 48 49 </project>
项目 web.xml 文件配置
1 <?xml version="1.0" encoding="UTF-8"?> 2 <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 3 xmlns="http://java.sun.com/xml/ns/javaee" 4 xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" 5 version="2.5"> 6 7 <!-- ======================== 单点登录开始 ======================== --> 8 <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 --> 9 <listener> 10 <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class> 11 </listener> 12 13 <!-- 该过滤器用于实现单点登出功能,可选配置。 --> 14 <filter> 15 <filter-name>CAS Single Sign Out Filter</filter-name> 16 <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> 17 </filter> 18 <filter-mapping> 19 <filter-name>CAS Single Sign Out Filter</filter-name> 20 <url-pattern>/*</url-pattern> 21 </filter-mapping> 22 23 <!-- 该过滤器负责用户的认证工作,必须启用它 --> 24 <filter> 25 <filter-name>CASFilter</filter-name> 26 <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class> 27 <init-param> 28 <param-name>casServerLoginUrl</param-name> 29 <param-value>http://localhost:9100/cas/login</param-value> 30 <!--这里的server是服务端的IP --> 31 </init-param> 32 <init-param> 33 <param-name>serverName</param-name> 34 <param-value>http://localhost:9001</param-value> 35 </init-param> 36 </filter> 37 <filter-mapping> 38 <filter-name>CASFilter</filter-name> 39 <url-pattern>/*</url-pattern> 40 </filter-mapping> 41 42 <!-- 该过滤器负责对Ticket的校验工作,必须启用它 --> 43 <filter> 44 <filter-name>CAS Validation Filter</filter-name> 45 <filter-class> 46 org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class> 47 <init-param> 48 <param-name>casServerUrlPrefix</param-name> 49 <param-value>http://localhost:9100/cas</param-value> 50 </init-param> 51 <init-param> 52 <param-name>serverName</param-name> 53 <param-value>http://localhost:9001</param-value> 54 </init-param> 55 </filter> 56 <filter-mapping> 57 <filter-name>CAS Validation Filter</filter-name> 58 <url-pattern>/*</url-pattern> 59 </filter-mapping> 60 61 <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 --> 62 <filter> 63 <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> 64 <filter-class> 65 org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class> 66 </filter> 67 <filter-mapping> 68 <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> 69 <url-pattern>/*</url-pattern> 70 </filter-mapping> 71 72 <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 --> 73 <filter> 74 <filter-name>CAS Assertion Thread Local Filter</filter-name> 75 <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class> 76 </filter> 77 <filter-mapping> 78 <filter-name>CAS Assertion Thread Local Filter</filter-name> 79 <url-pattern>/*</url-pattern> 80 </filter-mapping> 81 82 <!-- ======================== 单点登录结束 ======================== --> 83 84 85 </web-app>
项目index.jsp
1 <%@ page language="java" contentType="text/html; charset=UTF-8" 2 pageEncoding="UTF-8"%> 3 <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> 4 <html> 5 <head> 6 <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> 7 <title>cas client demo1</title> 8 </head> 9 <body> 10 欢迎你的登陆一 ! name:<%=request.getRemoteUser() %> 11 12 <a href="http://localhost:9100/cas/logout?service=http://www.baidu.com">退出登录</a> 13 </body> 14 </html>
运行服务端tomcat,Demo项目后,通过浏览器访问Demo项目后会跳转到CAS服务端进行验证,CAS有默认的用户密码,(casuser /Mellon)
三、Demo 进阶
Mark