單點登陸解決方案-CAS

　關於CAS的簡單介紹:　　　

　　 一,從結構上看，CAS 包含兩個部分： CAS Server 和 CAS Client。CAS Server 須要獨立部署，主要負責對用戶的認證工做；CAS Client 負責處理對客戶端受保護資源的訪問請求，須要登陸時，重定向到 CAS Server。

 

  　　二,SSO（Single Sign On）單點登陸訪問流程主要有如下步驟： 

 

　　1. 訪問服務：SSO客戶端發送請求訪問應用系統提供的服務資源。

 

　　2. 定向認證：SSO客戶端會重定向用戶請求到SSO服務器。

 

　　3. 用戶認證：用戶身份認證。

 

　　4. 發放票據：SSO服務器會產生一個隨機的Service Ticket。

 

　　5. 驗證票據：SSO服務器驗證票據Service Ticket的合法性，驗證經過後，容許客戶端訪問服務。

 

　　6. 傳輸用戶信息：SSO服務器驗證票據經過後，傳輸用戶認證結果信息給客戶端。

 

　　三,CAS Server的部署

　　Cas服務端其實就是一個war包。將其放在tomcat的webapp中啓動進行解壓,訪問http://localhost:8080/cas/login便可看到登陸頁  

　　固定 u/p:casuser /Mellon         想用本身數據庫中的用戶名登陸請參看第五點數據源的配置.

 

　　四,CAS Server的配置　

　　 1,修改TOMCAT的端口和修改cas的WEB-INF/cas.properties ,二者的端口要一致.

　　 2, 去除https認證　　　

                  CAS默認使用的是HTTPS協議，若是使用HTTPS協議須要SSL安全證書（需向特定的機構申請和購買） 。若是對安全要求不高或是在開發測試階段，可以使用HTTP協議。咱們這裏講解經過修改配置，讓CAS使用HTTP協議。

 

（1）修改cas的WEB-INF/deployerConfigContext.xml       找到下面的配置

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>

 

　　　　　　　　　　這裏須要增長參數p:requireSecure="false"，requireSecure屬性意思爲是否須要安全驗證，即HTTPS，false爲不採用

 

（2）修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml       找到下面配置

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"       p:cookieSecure="true"       p:cookieMaxAge="-1"       p:cookieName="CASTGC"       p:cookiePath="/cas" />

 

參數p:cookieSecure="true"，同理爲HTTPS驗證相關，TRUE爲採用HTTPS驗證，FALSE爲不採用https驗證。

 

參數p:cookieMaxAge="-1"，是COOKIE的最大生命週期，-1爲無生命週期，即只在當前打開的窗口有效，關閉或從新打開其它窗口，仍會要求驗證。能夠根據須要修改成大於0的數字，好比3600等，意思是在3600秒內，打開任意窗口，都不須要驗證。

 

咱們這裏將cookieSecure改成false ,  cookieMaxAge 改成3600

 

（3）修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml           找到下面配置

 

<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASPRIVACY" p:cookiePath="/cas" />

 

咱們這裏將cookieSecure改成false ,  cookieMaxAge 改成3600

 

　　　　五,CAS服務端數據源設置

 

 

　　　　　　（1）修改cas服務端中web-inf下deployerConfigContext.xml ，添加以下配置

 

<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"     p:driverClass="com.mysql.jdbc.Driver"     p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/pinyougoudb?characterEncoding=utf8"     p:user="root"     p:password="123456" /> <bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"   c:encodingAlgorithm="MD5"   p:characterEncoding="UTF-8" />   <bean id="dbAuthHandler"     class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"     p:dataSource-ref="dataSource"     p:sql="select password from tb_user where username = ?"     p:passwordEncoder-ref="passwordEncoder"/>

 

　　　　　　　　　　　　　　　　　　　而後在配置文件開始部分找到以下配置

 

<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">         <constructor-arg>             <map>                                <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver" />                 <entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" />             </map>         </constructor-arg>               <property name="authenticationPolicy">             <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy" />         </property> </bean>

 

　　　　　　　　　　　　　　　　　　　　其中

 

<entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" />

 

　　　　　　　　　　　　一句是使用固定的用戶名和密碼，咱們在下面能夠看到這兩個bean ,若是咱們使用數據庫認證用戶名和密碼，須要將這句註釋掉。

 

　　　　　　　　　　　　添加下面這一句配置

 

<entry key-ref="dbAuthHandler" value-ref="primaryPrincipalResolver"/>

 

　　　　　　　　　　（2）將如下三個jar包放入webapps\cas\WEB-INF\lib下  

　　　　　　　　　　　　　　　　　　　

 

 

 客戶端Demo測試步驟以下:

1,建立Maven工程(war)

2.引入依賴

<dependencies> <!-- cas -->   <dependency>       <groupId>org.jasig.cas.client</groupId>       <artifactId>cas-client-core</artifactId>       <version>3.3.3</version>   </dependency>   <dependency> <groupId>javax.servlet</groupId> <artifactId>servlet-api</artifactId> <version>2.5</version>   <scope>provided</scope> </dependency> </dependencies>     <build>     <plugins>       <plugin>             <groupId>org.apache.maven.plugins</groupId>             <artifactId>maven-compiler-plugin</artifactId>             <version>2.3.2</version>             <configuration>                 <source>1.7</source>                 <target>1.7</target>             </configuration>         </plugin>         <plugin> <groupId>org.apache.tomcat.maven</groupId> <artifactId>tomcat7-maven-plugin</artifactId> <configuration> <!-- 指定端口 --> <port>9001</port> <!-- 請求路徑 --> <path>/</path> </configuration>      </plugin>   </plugins>       </build>

 

 

 

 

 

 

 

 

 

 

3,添加web.xml    配置這部分時要注意和服務端的IP保持一致

<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">     <!-- 用於單點退出，該過濾器用於實現單點登出功能，可選配置 -->       <listener>        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>       </listener>       <!-- 該過濾器用於實現單點登出功能，可選配置。 -->       <filter>           <filter-name>CAS Single Sign Out Filter</filter-name>          <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>       </filter>       <filter-mapping>           <filter-name>CAS Single Sign Out Filter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>       <!-- 該過濾器負責用戶的認證工做，必須啓用它 -->       <filter>           <filter-name>CASFilter</filter-name>       <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>           <init-param>               <param-name>casServerLoginUrl</param-name>               <param-value>http://localhost:9100/cas/login</param-value>               <!--這裏的server是服務端的IP -->           </init-param>           <init-param>               <param-name>serverName</param-name>               <param-value>http://localhost:9001</param-value>         </init-param>       </filter>       <filter-mapping>           <filter-name>CASFilter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>       <!-- 該過濾器負責對Ticket的校驗工做，必須啓用它 -->       <filter>           <filter-name>CAS Validation Filter</filter-name>           <filter-class>     org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>           <init-param>               <param-name>casServerUrlPrefix</param-name>               <param-value>http://localhost:9100/cas</param-value>           </init-param>           <init-param>               <param-name>serverName</param-name>               <param-value>http://localhost:9001</param-value>         </init-param>       </filter>       <filter-mapping>           <filter-name>CAS Validation Filter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>       <!-- 該過濾器負責實現HttpServletRequest請求的包裹， 好比容許開發者經過HttpServletRequest的getRemoteUser()方法得到SSO登陸用戶的登陸名，可選配置。 -->       <filter>           <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>           <filter-class>               org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>       </filter>       <filter-mapping>           <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>       <!-- 該過濾器使得開發者能夠經過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登陸名。 好比AssertionHolder.getAssertion().getPrincipal().getName()。 -->       <filter>           <filter-name>CAS Assertion Thread Local Filter</filter-name>       <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>       </filter>       <filter-mapping>           <filter-name>CAS Assertion Thread Local Filter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>   </web-app>

 

 

 4,編寫index.jsp進行訪問測試

　　　　　　　　　　　　

<%@ page language="java" contentType="text/html; charset=utf-8"

    pageEncoding="utf-8"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>測試</title>

</head>

<body>

<%=request.getRemoteUser()%>  //獲取遠程登陸名

</body>

</html>

 

5,再建立一個和上面同樣的工程進行單點登陸測試

 

 

 　　　　　　　　　　　　　　　　六,單點退出

　　　　　　

　　　　　　　　　　　　　　　　　　　　　　咱們能夠將這個連接添加到index.jsp中

<a href="http://localhost:9100/cas/logout">退出登陸</a>

　　　　　　　　　　　　　　　　　　　　　　　　但咱們更但願退出登陸後，能自動跳轉到某個頁面，那如何處理呢？

　　　　　　　　　　　　　　　　　　　　　　　　修改cas系統的配置文件cas-servlet.xml

<bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction"         p:servicesManager-ref="servicesManager"         p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/>

　　　　　　　　　　　　　　　　　　　　　　　　改成true後，能夠在退出時跳轉頁面到目標頁面，修改index.jsp的退出連接

<a href="http://localhost:9100/cas/logout?service=http://www.baidu.com">退出登陸</a>

 

 

　　　　　　　　　　　　　　七,,可能你也看到了,有時候登陸頁不是咱們想要的樣子,錯誤提示也不是咱們想要的樣子,

　　　　　　　　　　　　　　　　

　　　　　　　　　　　　　　1.　登陸界面改造   :cas系統下WEB-INF\view\jsp\default\ui 目錄下的casLoginView.jsp即爲登陸頁,修改的時候注意form表單裏面的一些參數要保留

 

　　　　　　　　　　　　　　2.錯誤提示框

<form:errors path="*" id="msg" cssClass="errors" element="div" htmlEscape="false" />

　　　　　　　　　　　　　　　　　　　　　　測試：輸入錯誤的用戶名和密碼，提示是英文。這個提示信息是在WEB-INF\classes目錄下的messages.properties文件中

authenticationFailure.AccountNotFoundException=Invalid credentials. authenticationFailure.FailedLoginException=Invalid credentials.

　　　　　　　　　　　　　　　　　　　　　　設置國際化爲zn_CN  ,修改cas-servlet.xml

<bean id="localeResolver" class="org.springframework.web.servlet.i18n.CookieLocaleResolver" p:defaultLocale="zh_CN" />

　　　　　　　　　　　　　　　　　　　　　　咱們須要將此信息拷貝到messages_zh_CN.properties下，並改成中文提示（轉碼）

authenticationFailure.AccountNotFoundException=\u7528\u6237\u4E0D\u5B58\u5728. authenticationFailure.FailedLoginException=\u5BC6\u7801\u9519\u8BEF.