cas 單點登陸配置

服務端配置
cas是個好東西，很靈活很好用，可是配置起來很麻煩

cas官方網站

http://downloads.jasig.org/

下載服務端 CAS Server 3.3.3 Final

一、將服務器端解壓，將modules下面的cas-server-webapp-3.3.3.war部署到web服務器，重命名爲CAS.war，做爲單點的服務器。

二、導入modules中的cas-server-support-jdbc-3.3.3.jar包

三、導入數據庫驅動

四、導入附件中的全部文件 (commons-dbcp.jar,commons-pool-1.3.jar,spring.jar)
 

數據庫：
CREATE TABLE `users` (
  `username` varchar(50) DEFAULT NULL,
  `password` varchar(50) DEFAULT NULL,
  `is_admin` int(11) DEFAULT NULL,
  `id` int(11) DEFAULT NULL
)

insert  into `users`(`username`,`password`,`is_admin`,`id`) values ('zjx','202cb962ac59075b964b07152d234b70',1,123);

登陸的服務器下面不少配置文件，經過配置能夠作一些擴展。

修改點1：驗證方式使用咱們本身的用戶表驗證

cas和當前已有的系統作集成的入口

1.修改deployerConfigContext.xml文件

添加數據源配置

XML/HTML代碼

<bean id="casDataSource" class="org.apache.commons.dbcp.BasicDataSource">  
     <property name="driverClassName">  
          <value>com.mysql.jdbc.Driver</value>  
     </property>  
     <property name="url">  
          <value>jdbc:mysql://localhost/ires?useUnicode=true&amp;characterEncoding=UTF-8&amp;autoReconnect=true</value>  
     </property>  
     <property name="username">  
          <value>root</value>  
     </property>  
     <property name="password">  
          <value>i709394</value>  
     </property>  
</bean>  

定義MD5的加密方式

XML/HTML代碼

<bean id="passwordEncoder"     
    class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" >         
    <constructor-arg value="MD5"/>     
</bean>

配置authenticationManager下面的authenticationHandlers屬性

XML/HTML代碼

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">  
      <property name="dataSource" ref="casDataSource" />  
      <property name="sql" value="select password from users where username = ?" />  
      <property  name="passwordEncoder"  ref="passwordEncoder"/>  
</bean>

修改點2：獲取用戶信息保存，方便各個客戶端能夠統一獲得用戶信息

1.定義attributeRepository，經過jdbc查詢用戶的詳細信息，能夠把用戶表或用戶的所屬組織機構或角色等查詢出來。

XML/HTML代碼

<bean id="attributeRepository" class="org.jasig.services.persondir.support.jdbc.SingleRowJdbcPersonAttributeDao">  
 <constructor-arg index="0" ref="casDataSource" />  
 <constructor-arg index="1" >  
  <list>  
     <value>username</value> 
  </list>  
  </constructor-arg>  
 <constructor-arg index="2">  
  <value>  
   select id,username,is_admin from users where username = ?  
  </value>  
 </constructor-arg>  
 <property name="columnsToAttributes">  
  <map>  
   <entry key="id" value="id" />  
   <entry key="username" value="username" />  
   <entry key="is_admin" value="is_admin" />  
    
  </map>  
 </property>  
</bean>  

2.配置authenticationManager中credentialsToPrincipalResolvers屬性

XML/HTML代碼

<bean class="org.jasig.cas.authentication.principal.UsernamePasswordCredentialsToPrincipalResolver">  
       <property name="attributeRepository" ref="attributeRepository" />  
</bean>  

注意：默認cas登陸服務器沒有把用戶信息傳到客戶端中，因此要修改WEB-INF\view\jsp\protocol\2.0\casServiceValidationSuccess.jsp文件，增長

XML/HTML代碼

<c:if test="${fn:length(assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes) > 0}">  
<cas:attributes>  
<c:forEach var="attr" items="${assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes}">                       
   <cas:${fn:escapeXml(attr.key)}>${fn:escapeXml(attr.value)}</cas:${fn:escapeXml(attr.key)}>  
</c:forEach>    
</cas:attributes>  
</c:if>  

修改點3：用數據庫來保存登陸的會話

這樣服務器在從新啓動的時候不會丟失會話。

1.修改ticketRegistry.xml文件

將默認的ticketRegistry改爲

XML/HTML代碼

<bean id="ticketRegistry" class="org.jasig.cas.ticket.registry.JpaTicketRegistry">  
        <constructor-arg index="0" ref="entityManagerFactory" />  
    </bean>  
       
    <bean id="entityManagerFactory" class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean">  
        <property name="dataSource" ref="dataSource"/>  
        <property name="jpaVendorAdapter">  
            <bean class="org.springframework.orm.jpa.vendor.HibernateJpaVendorAdapter">  
                <property name="generateDdl" value="true"/>  
                <property name="showSql" value="true" />  
            </bean>  
        </property>  
        <property name="jpaProperties">  
            <props>  
                <prop key="hibernate.dialect">org.hibernate.dialect.MySQLDialect</prop>  
                <prop key="hibernate.hbm2ddl.auto">update</prop>  
            </props>  
        </property>  
    </bean>  
  
    <bean id="transactionManager" class="org.springframework.orm.jpa.JpaTransactionManager"  
        p:entityManagerFactory-ref="entityManagerFactory" />  
  
    <tx:annotation-driven transaction-manager="transactionManager"/>  
  
    <bean  
        id="dataSource"  
        class="org.apache.commons.dbcp.BasicDataSource"  
        p:driverClassName="com.mysql.jdbc.Driver"  
        p:url="jdbc:mysql://192.168.1.100:3306/cas?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true"  
        p:password="709394"  
        p:username="itravel" />  

配置完以後還須要一些jar的支持，根據提示那些包缺乏到網上找。

 

修改點4：配置remenber me的功能，可讓客戶端永久保存session

1.修改deployerConfigContext.xml文件

authenticationManager增長authenticationMetaDataPopulators屬性

XML/HTML代碼

<property name="authenticationMetaDataPopulators">  
    <list>  
        <bean class="org.jasig.cas.authentication.principal.RememberMeAuthenticationMetaDataPopulator" />  
    </list>  
</property>  

2.修改cas-servlet.xml

修改authenticationViaFormAction配置變成

XML/HTML代碼

<bean id="authenticationViaFormAction" class="org.jasig.cas.web.flow.AuthenticationViaFormAction"  
    p:centralAuthenticationService-ref="centralAuthenticationService"  
    p:formObjectClass="org.jasig.cas.authentication.principal.RememberMeUsernamePasswordCredentials"  
    p:formObjectName="credentials"  
    p:validator-ref="UsernamePasswordCredentialsValidator"  
    p:warnCookieGenerator-ref="warnCookieGenerator" />  

增長UsernamePasswordCredentialsValidator

XML/HTML代碼

<bean id="UsernamePasswordCredentialsValidator" class="org.jasig.cas.validation.UsernamePasswordCredentialsValidator" />  

修改ticketExpirationPolicies.xml，grantingTicketExpirationPolicy配置以下，注意時間要加大，否則session很容易過時，達不到remember me的效果。

XML/HTML代碼

<bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.RememberMeDelegatingExpirationPolicy">  
   <property name="sessionExpirationPolicy">  
    <bean class="org.jasig.cas.ticket.support.TimeoutExpirationPolicy">  
           <constructor-arg index="0" value="2592000000" />  
    </bean>  
   </property>  
   <property name="rememberMeExpirationPolicy">  
    <bean class="org.jasig.cas.ticket.support.TimeoutExpirationPolicy">  
           <constructor-arg index="0" value="2592000000" />  
    </bean>  
   </property>  
</bean>  

修改點5：取消https驗證

在網絡安全性較好，對系統安全沒有那麼高的狀況下能夠取消https驗證，使系統更加容易部署。

1.修改ticketGrantingTicketCookieGenerator.xml

XML/HTML代碼

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"  
        p:cookieSecure="false"  
        p:cookieMaxAge="-1"  
        p:cookieName="CASTGC"  
        p:cookiePath="/cas" />  

p:cookieSecure改爲false，客戶端web.xml中單獨服務器的連接改爲http

warnCookieGenerator.xml的p:cookieSecure一樣設置爲false

deployerConfigContext.xml 改爲：
<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"   p:httpClient-ref="httpClient" p:requireSecure="false"/>
增長p:requireSecure="false"
 

 

使用https協議的配置

1.證書生成和導入

下面是一個生成證書和導入證書的bat腳本，若是web應用和單獨登陸服務器部署在同一臺機能夠一塊兒執行

C++代碼

 

@echo off   
if "%JAVA_HOME%" == "" goto error   
@echo on   
  
@echo off   
cls    
rem please set the env JAVA_HOME before run this bat file    
rem delete alia tomcat if it is existed    
keytool -delete -alias tomcatsso -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit    
keytool -delete -alias tomcatsso -storepass changeit    
REM （註釋： 清除系統中可能存在的名字爲tomcatsso 的同名證書）   
rem list all alias in the cacerts    
keytool -list -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit    
REM （註釋： 列出系統證書倉庫中存在證書名稱列表）   
rem generator a key    
keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=localhost" -storepass changeit    
REM （註釋：指定使用RSA算法，生成別名爲tomcatsso的證書，存貯口令爲changeit，證書的DN爲"cn=linly" ，這個DN必須同當前主機完整名稱一致哦，切記！！！）   
rem export the key    
keytool -export -alias tomcatsso -file "%java_home%/jre/lib/security/tomcatsso.crt" -storepass changeit    
REM （註釋： 從keystore中導出別名爲tomcatsso的證書，生成文件tomcatsso.crt）   
rem import into trust cacerts    
keytool -import -alias tomcatsso -file "%java_home%/jre/lib/security/tomcatsso.crt" -keystore "%java_home%/jre/lib/security/cacerts" -storepass changeit    
REM （註釋：將tomcatsso.crt導入jre的可信任證書倉庫。注意，安裝JDK是有兩個jre目錄，一個在jdk底下，一個是獨立的jre，這裏的目錄必須同Tomcat使用的jre目錄一致，不然後面Tomcat的HTTPS通信就找不到證書了）   
rem list all alias in the cacerts    
keytool -list -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit   
pause   
  
:error   
echo 請先設置JAVA_HOME環境變量   
:end  

3.將.keystore文件拷貝到tomcat的conf目錄下面，注意.keystore會在證書生成的時候生成到系統的用戶文件夾中，如windows會生產到C:\Documents and Settings\[yourusername]\下面

2.配置tomcat，把https協議的8443端口打開，指定證書的位置。

XML/HTML代碼

 

<Connector port="8443" maxHttpHeaderSize="8192"  
              maxThreads="150" minSpareThreads="25" maxSpareThreads="75"  
              enableLookups="false" disableUploadTimeout="true"  
              acceptCount="100" scheme="https" secure="true"  
              clientAuth="false" sslProtocol="TLS"    
  keystoreFile="conf/.keystore"  keystorePass="changeit"   truststoreFile="C:\Program Files\Java\jdk1.5.0_07\jre\lib\security\cacerts"/>    

客戶端配置

cas官方網站上面的客戶端下載地址比較隱祕，沒有徹底公開，具體地址爲

http://www.ja-sig.org/downloads/cas-clients/

下載最新的cas-client-3.1.6-release.zip(http://www.ja-sig.org/downloads/cas-clients/cas-client-3.1.6-release.zip)

1.解壓後把modules下面的包放到咱們的web應用中

serverName是咱們web應用的地址和端口

XML/HTML代碼

注意serverName是客戶端應用

 

     <context-param>  
        <param-name>serverName</param-name>  
 <param-value>http://192.168.1.145:81</param-value>  
  
    </context-param>  
       
      
       
    <filter>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.session.SingleSignOutFilter   
        </filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <listener>  
        <listener-class>  
            org.jasig.cas.client.session.SingleSignOutHttpSessionListener   
        </listener-class>  
    </listener>  
    <filter>  
        <filter-name>CAS Authentication Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.authentication.AuthenticationFilter   
        </filter-class>  
        <init-param>  
            <param-name>casServerLoginUrl</param-name>  
            <param-value>http://192.168.1.100/cas/login</param-value>  
        </init-param>  
    </filter>  
    <filter>  
        <filter-name>CAS Validation Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter   
        </filter-class>  
        <init-param>  
            <param-name>casServerUrlPrefix</param-name>  
            <param-value>http://192.168.1.100/cas</param-value>  
        </init-param>  
    </filter>  
  
    <filter>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.util.HttpServletRequestWrapperFilter   
        </filter-class>  
    </filter>  
    <filter>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.util.AssertionThreadLocalFilter   
        </filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Authentication Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <filter-mapping>  
        <filter-name>CAS Validation Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <filter-mapping>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <filter-mapping>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  

3.導入證書，若是不用https的話，這步能夠跳過，把tomcatsso.crt證書拷貝到c盤下面，在jdk的bin目錄下面運行下面的語句。

 

JavaScript代碼

 

rem （註釋： 清除系統中可能存在的名字爲tomcatsso 的同名證書）   
keytool -delete -alias tomcatsso -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit    
keytool -delete -alias tomcatsso -storepass changeit    
  
rem 在客戶端的 JVM 裏導入信任的 SERVER 的證書 ( 根據狀況有可能須要管理員權限 )    
keytool -import -alias tomcatsso -file "c:/tomcatsso.crt" -keystore "%java_home%/jre/lib/security/cacerts" -storepass changeit   

 客戶端獲取登陸用戶名和用戶信息實例

Java代碼

AttributePrincipal principal = (AttributePrincipal) request
    .getUserPrincipal();
String username = principal.getName();

System.out.println(username);

System.out.println(principal.getAttributes().get("id"));
System.out.println(principal.getAttributes().get("username"));
System.out.println(principal.getAttributes().get("is_admin"));

response.setContentType("text/plain"); response.getWriter().println("zjx");