單點登陸（SSO）解決方案之 CAS 入門案例

單點登陸：

　　單點登陸（Single Sign On），簡稱爲 SSO，是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中，用戶只須要登陸一次就能夠訪問全部相互信任的應用系統。

CAS：

　　CAS 是 Yale 大學發起的一個開源項目，旨在爲 Web 應用系統提供一種可靠的單點登陸方法，CAS 在 2004 年 12 月正式成爲 JA-SIG 的一個項目。CAS 具備如下特色：

　　　　1，開源的企業級單點登陸解決方案。

​　　　　2，CAS Server 爲須要獨立部署的 Web 應用。

　　　　​3，CAS Client 支持很是多的客戶端(這裏指單點登陸系統中的各個 Web 應用)，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

 

SSO單點登陸訪問流程主要步驟：

1. 訪問服務：SSO客戶端發送請求訪問應用系統提供的服務資源。

2. 定向認證：SSO客戶端會重定向用戶請求到SSO服務器。

3. 用戶認證：用戶身份認證。

4. 發放票據：SSO服務器會產生一個隨機的Service Ticket。

5. 驗證票據：SSO服務器驗證票據Service Ticket的合法性，驗證經過後，容許客戶端訪問服務。

6. 傳輸用戶信息：SSO服務器驗證票據經過後，傳輸用戶認證結果信息給客戶端。

 

CAS服務端（CAS Server）部署：

準備工做：

　　cas服務端其實就是一個war包。 首先須要從 cas官網  下載cas-server，我這裏下載並使用的是 cas-server-4.0.0-release.zip。

　　解壓後，在modules目錄下的cas-server_webapp-4.0.0.war，將其更名爲cas.war放入tomcat目錄下的webapps下。

　　因此上述爲須要準備的東西，cas-server的war包以及tomcat，下面用的tomcat爲apache-tomcat-7.0.77

 

啓動tomcat自動解壓war包。瀏覽器輸入 http://localhost:8080/cas/login ，可看到登陸頁面：

這個頁面也就是咱們作單點登陸各個系統共用的登陸頁面，有點醜，咱們後面會用本身的登陸頁面替換。

這裏有個固定的用戶名和密碼 casuser /Mellon

​登陸成功後會跳到登陸成功的提示頁面：

 

地址欄輸入 http://localhost:8080/cas/logout可退出登陸。

 

 

CAS服務端配置：

若是咱們不但願用8080端口訪問CAS, 能夠修改端口：

1，修改tomcat端口：

打開tomcat 目錄 conf\server.xml 找到下面的配置

    <Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />

這裏案例中將端口8080修改成9100。

2，修改CAS配置文件：

修改cas的WEB-INF/cas.properties：

server.name=http://localhost:9100

3，去除https認證

CAS默認使用的是HTTPS協議，若是使用HTTPS協議須要SSL安全證書（需向特定的機構申請和購買） 。若是對安全要求不高或是在開發測試階段，可以使用HTTP協議。咱們這裏講解經過修改配置，讓CAS使用HTTP協議。

 

3.1，修改cas的WEB-INF/deployerConfigContext.xml

找到如下配置：

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>

修改成（requireSecure屬性意思爲是否須要安全驗證，即HTTPS，false爲不採用）：

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" p:requireSecure="false" />

 

3.2，修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml

找到如下配置：

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
      p:cookieSecure="true"
      p:cookieMaxAge="-1"
      p:cookieName="CASTGC"
      p:cookiePath="/cas" />

修改成（將cookieSecure改成false , cookieMaxAge 改成3600）：

    參數p:cookieSecure="true"，同理爲HTTPS驗證相關，TRUE爲採用HTTPS驗證，FALSE爲不採用https驗證。

    參數p:cookieMaxAge="-1"，是COOKIE的最大生命週期，-1爲無生命週期，即只在當前打開的窗口有效，關閉或從新打開其它窗口，仍會要求驗證。能夠根據須要修改成大於0的數字，好比3600等，意思是在3600秒內，打開任意窗口，都不須要驗證。

修改說明

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
      p:cookieSecure="false"
      p:cookieMaxAge="3600"
      p:cookieName="CASTGC"
      p:cookiePath="/cas" />

 

3.3，修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml

找到如下配置：

<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
p:cookieSecure="true"
p:cookieMaxAge="-1"
p:cookieName="CASPRIVACY"
p:cookiePath="/cas" />

修改成：

<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
p:cookieSecure="false"
p:cookieMaxAge="3600"
p:cookieName="CASPRIVACY"
p:cookiePath="/cas" />

 

CAS客戶端入門demo：

搭建客戶端1：

建立Maven工程 （war）casclient_demo1 引入cas客戶端依賴並制定tomcat運行端口爲9001

pom.xml：

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>project_demo</artifactId>
        <groupId>com.zy</groupId>
        <version>1.0-SNAPSHOT</version>
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <artifactId>casclient_demo1</artifactId>
    <packaging>war</packaging>

    <dependencies>
        <!-- cas 所需依賴-->
        <dependency>
            <groupId>org.jasig.cas.client</groupId>
            <artifactId>cas-client-core</artifactId>
            <version>3.3.3</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
            <scope>provided</scope>
        </dependency>
    </dependencies>
    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>2.3.2</version>
                <configuration>
                    <source>1.8</source>
                    <target>1.8</target>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <configuration>
                    <!-- 指定端口 -->
                    <port>9001</port>
                    <!-- 請求路徑 -->
                    <path>/</path>
                </configuration>
            </plugin>
        </plugins>
    </build>
</project>

修改web.xml：（後面會把casserver放到一臺虛擬機上：192.168.44.31，建議先放到本地，最後再放到其餘機器上，由於後面還要修改配置文件，若是放在本地的話 能夠把註釋放開 把下面一行註釋掉）

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         version="2.5">

    <display-name>Archetype Created Web Application</display-name>

    <!-- 用於單點退出，該過濾器用於實現單點登出功能，可選配置 -->
    <listener>
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    </listener>

    <!-- 該過濾器用於實現單點登出功能，可選配置。 -->
    <filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>


    <!-- 該過濾器負責用戶的認證工做，必須啓用它 -->
    <filter>
        <filter-name>CASFilter</filter-name>
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <!--單點登陸 cas登陸url-->
            <!--<param-value>http://localhost:9100/cas/login</param-value>-->
            <param-value>http://192.168.44.31:9100/cas/login</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <!--程序的url-->
            <param-value>http://localhost:9001</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CASFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!-- 該過濾器負責對Ticket的校驗工做，必須啓用它 -->
    <filter>
        <filter-name>CAS Validation Filter</filter-name>
        <filter-class>
            org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
        </filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <!--<param-value>http://localhost:9100/cas</param-value>-->
            <param-value>http://192.168.44.31:9100/cas</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://localhost:9001</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Validation Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>


    <!--獲取用戶名的兩個過濾器-->
    <!-- 該過濾器負責實現HttpServletRequest請求的包裹， 好比容許開發者經過HttpServletRequest的getRemoteUser()方法得到SSO登陸用戶的登陸名，可選配置。 -->
    <filter>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <filter-class>
            org.jasig.cas.client.util.HttpServletRequestWrapperFilter
        </filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!-- 該過濾器使得開發者能夠經過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登陸名。 好比AssertionHolder.getAssertion().getPrincipal().getName()。 -->
    <filter>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

</web-app>

編寫一個index.jsp頁面：

<%@ page language="java" contentType="text/html; charset=utf-8"
         pageEncoding="utf-8" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <title>1</title>
</head>
<body>
<h1>歡迎訪問網站1</h1>
<%=request.getRemoteUser()%>
<br/>
<%--<a href="http://localhost:9100/cas/logout?service=http://www.baidu.com">退出登陸</a>--%>
<a href="http://192.168.44.31:9100/cas/logout?service=http://www.baidu.com">退出登陸</a>
</body>
</html>

咱們但願退出登陸後，能自動跳轉到某個頁面，那如何處理呢？

修改cas系統的配置文件cas-servlet.xml（把false修改爲true，容許重定向）

  <bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction"
        p:servicesManager-ref="servicesManager"
        p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/>

咱們的index頁面上有一個退出登陸的功能，並且url中有個service=http://www.baidu.com，這個www.baidu.com就是退出後跳轉到的頁面

 

搭建客戶端2（casclient_demo2）：參考casclient_demo1，只須要修改其中tomcat端口（9002）以及index頁面內容便可。

 

單點登陸測試：

​ （1）啓動cas部署的tomcat

​ （2）啓動客戶端工程1和客戶端工程2

​ （3）地址欄輸入http://localhost:9001/index.jsp 和http://localhost:9002/index.jsp ，地址均會跳轉到CAS登陸頁

​ （4）輸入用戶名和密碼後（默認帳號密碼 casuser /Mellon，後面咱們再改形成從數據庫取帳號密碼），頁面跳轉回9002 ，刷新9001也能夠打開index.jsp（不須要登陸）。

 

下一篇：單點登陸（SSO）解決方案之 CAS服務端數據源設置及頁面改造