SSO之CAS單點登陸實例演示

時間 2019-12-19

標籤 sso cas 單點登陸實例演示欄目軟件設計简体版

原文原文鏈接

本文目錄：html

1、概述
2、演示環境
3、JDK安裝配置
4、安全證書配置
5、部署CAS-Server相關的Tomcat
6、部署CAS-Client相關的Tomcat
7、測試驗證SSO

1、概述java

此文的目的就是爲了幫助初步接觸SSO和CAS 的人員提供一個入門指南，一步一步演示如何實現基於CAS的單點登陸。web

CAS的官網：http://www.jasig.org/casapache

2、演示環境windows

本文演示過程在同一個機器上的（也能夠在三臺實體機器或者三個的虛擬機上），環境以下：瀏覽器

windows7 64位，主機名稱：michael-pc
JDK 1.6.0_18
Tomcat 6.0.29
CAS-server-3.4.十一、CAS-client-3.2.1

根據演示需求，用修改hosts 文件的方法添加域名最簡單方便（這個很是重要），在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三條

127.0.0.1 demo.micmiu.com

127.0.0.1 app1.micmiu.com

127.0.0.1 app2.micmiu.com

demo.micmiu.com =>> 對應部署cas server的tomcat，這個虛擬域名還用於證書生成
app1.micmiu.com =>> 對應部署app1 的tomcat
app2.micmiu.com =>> 對應部署app2 的tomcat

3、JDK安裝配置tomcat

這個詳細過程就不在描述，若是是免安裝版的，確保環境變量配置正確。安全

本機環境變量：JAVA_HOME=D:\jdk，若是看到如下信息則表示安裝成功：session

4、安全證書配置app

有關keytool工具的詳細運用見：http://www.micmiu.com/lang/java/keytool-start-guide/

4.1. 生成證書：

1	keytool -genkey -alias ssodemo -keyalg RSA -keysize 1024 -keypass michaelpwd -validity 365 -keystore g:\sso\ssodemo.keystore -storepass michaelpwd

ps：

截圖中須要輸入的姓名和上面hosts文件中配置的一致；
keypass 和 storepass 兩個密碼要一致，不然下面tomcat 配置https 訪問失敗；

4.2.導出證書：

1	keytool -export -alias ssodemo -keystore g:\sso\ssodemo.keystore -file g:\sso\ssodemo.crt -storepass michaelpwd

4.3.客戶端導入證書：

1	keytool -import -keystore %JAVA_HOME%\jre\lib\security\cacerts -file g:\sso\ssodemo.crt -alias ssodemo

ps：該命令中輸入的密碼和上面輸入的不是同一個密碼；若是是多臺機器演示，須要在每一臺客戶端導入該證書。

5、部署CAS-Server相關的Tomcat

5.1. 配置HTTPS

解壓apache-tomcat-6.0.29.tar.gz並重命名後的路徑爲 G:\sso\tomcat-cas，在文件 conf/server.xml文件找到：

<!--

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" />

-->

修改爲以下：

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"

maxThreads="150" scheme="https" secure="true"

keystoreFile="g:/sso/ssodemo.keystore" keystorePass="michaelpwd"

clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8"

參數說明：

keystoreFile 就是4.1中建立證書的路徑
keystorePass 就是4.1中建立證書的密碼

5.2. 驗證HTTPS配置
其餘按照默認配置不做修改，雙擊%TOMCAT_HOME%\bin\startup.bat 啓動tomcat-cas 驗證https訪問配置:

若是看到上述界面表示https 訪問配置成功。

5.3 部署CAS-Server
CAS-Server 下載地址：http://www.jasig.org/cas/download
本文以cas-server-3.4.11-release.zip 爲例，解壓提取cas-server-3.4.11/modules/cas-server-webapp-3.4.11.war文件，把改文件copy到 G:\sso\tomcat-cas\webapps\ 目下，並重命名爲：cas.war.
啓動tomcat-cas，在瀏覽器地址欄輸入：https://demo.micmiu.com:8443/cas/login ，回車

CAS-server的默認驗證規則：只要用戶名和密碼相同就認證經過（僅僅用於測試，生成環境須要根據實際狀況修改），輸入admin/admin 點擊登陸，就能夠看到登陸成功的頁面：

看到上述頁面表示CAS-Server已經部署成功。

6、部署CAS-Client相關的Tomcat

6.1Cas-Client 下載

CAS-Client 下載地址：http://downloads.jasig.org/cas-clients/

以cas-client-3.2.1-release.zip 爲例，解壓提取cas-client-3.2.1/modules/cas-client-core-3.2.1.jar

藉以tomcat默認自帶的 webapps\examples 做爲演示的簡單web項目

6.2 安裝配置 tomcat-app1

解壓apache-tomcat-6.0.29.tar.gz並重命名後的路徑爲 G:\sso\tomcat-app1，修改tomcat的啓動端口，在文件conf/server.xml文件找到以下內容：

<Connector port="8080" protocol="HTTP/1.1"

connectionTimeout="20000"

redirectPort="8443" />

修改爲以下：

<Connector port="18080" protocol="HTTP/1.1"

connectionTimeout="20000"

redirectPort="18443" />

啓動tomcat-app1，瀏覽器輸入 http://app1.micmiu.com:18080/examples/servlets/ 回車：

看到上述界面表示tomcat-app1的基本安裝配置已經成功。

接下來複制 client的lib包cas-client-core-3.2.1.jar到 tomcat-app1\webapps\examples\WEB-INF\lib\目錄下，在tomcat-app1\webapps\examples\WEB-INF\web.xml 文件中增長以下內容：

<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>

</listener>

<filter-name>CAS Single Sign Out Filter</filter-name>

<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS Single Sign Out Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-name>CAS Filter</filter-name>

<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

<init-param>

<param-name>casServerLoginUrl</param-name>

<param-value>https://demo.micmiu.com:8443/cas/login</param-value>

</init-param>

<init-param>

<param-name>serverName</param-name>

<param-value>http://app1.micmiu.com:18080</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>CAS Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-name>CAS Validation Filter</filter-name>

<filter-class>

org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>

<init-param>

<param-name>casServerUrlPrefix</param-name>

<param-value>https://demo.micmiu.com:8443/cas</param-value>

</init-param>

<init-param>

<param-name>serverName</param-name>

<param-value>http://app1.micmiu.com:18080</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>CAS Validation Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<!--

該過濾器負責實現HttpServletRequest請求的包裹，

好比容許開發者經過HttpServletRequest的getRemoteUser()方法得到SSO登陸用戶的登陸名，可選配置。

-->

<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

<filter-class>

org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<!--

該過濾器使得開發者能夠經過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登陸名。

好比AssertionHolder.getAssertion().getPrincipal().getName()。

-->

<filter-name>CAS Assertion Thread Local Filter</filter-name>

<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS Assertion Thread Local Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

有關cas-client的web.xml修改的詳細說明見官網介紹：

https://wiki.jasig.org/display/CASC/Configuring+the+Jasig+CAS+Client+for+Java+in+the+web.xml

6.3 安裝配置 tomcat-app2

解壓apache-tomcat-6.0.29.tar.gz並重命名後的路徑爲 G:\sso\tomcat-app2，修改tomcat的啓動端口，在文件 conf/server.xml文件找到以下內容：

<Connector port="8080" protocol="HTTP/1.1"

connectionTimeout="20000"

redirectPort="8443" />

修改爲以下：

<Connector port="28080" protocol="HTTP/1.1"

connectionTimeout="20000"

redirectPort="28443" />

啓動tomcat-app2，瀏覽器輸入 http://app2.micmiu.com:28080/examples/servlets/ 回車，按照上述6.2中的方法驗證是否成功。

同6.2中的複製 client的lib包cas-client-core-3.2.1.jar到 tomcat-app2\webapps\examples\WEB-INF\lib\目錄下，在tomcat-app2\webapps\examples\WEB-INF\web.xml 文件中增長以下內容：

<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>

</listener>

<filter-name>CAS Single Sign Out Filter</filter-name>

<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS Single Sign Out Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-name>CAS Filter</filter-name>

<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

<init-param>

<param-name>casServerLoginUrl</param-name>

<param-value>https://demo.micmiu.com:8443/cas/login</param-value>

</init-param>

<init-param>

<param-name>serverName</param-name>

<param-value>http://app2.micmiu.com:28080</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>CAS Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<filter-name>CAS Validation Filter</filter-name>

<filter-class>

org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>

<init-param>

<param-name>casServerUrlPrefix</param-name>

<param-value>https://demo.micmiu.com:8443/cas</param-value>

</init-param>

<init-param>

<param-name>serverName</param-name>

<param-value>http://app2.micmiu.com:28080</param-value>

</init-param>

</filter>

<filter-mapping>

<filter-name>CAS Validation Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<!--

該過濾器負責實現HttpServletRequest請求的包裹，

好比容許開發者經過HttpServletRequest的getRemoteUser()方法得到SSO登陸用戶的登陸名，可選配置。

-->

<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

<filter-class>

org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

<!--

該過濾器使得開發者能夠經過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登陸名。

好比AssertionHolder.getAssertion().getPrincipal().getName()。

-->

<filter-name>CAS Assertion Thread Local Filter</filter-name>

<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>CAS Assertion Thread Local Filter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

7、測試驗證SSO

啓動以前配置好的三個tomcat分別爲：tomcat-cas、tomcat-app一、tomcat-app2.

7.1 基本的測試

預期流程：打開app1 url —-> 跳轉cas server 驗證 —-> 顯示app1的應用 —-> 打開app2 url —-> 顯示app2應用 —-> 註銷cas server —-> 打開app1/app2 url —-> 從新跳轉到cas server 驗證.

打開瀏覽器地址欄中輸入：http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample，回車：

跳轉到驗證頁面：

驗證經過後顯示以下：

此時訪問app2就再也不須要驗證：

地址欄中輸入：https://demo.micmiu.com:8443/cas/logout，回車顯示：

上述表示認證註銷成功，此時若是再訪問 : http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample 或 http://app2.micmiu.com:28080/examples/servlets/servlet/HelloWorldExample 須要從新進行認證。

7.2 獲取登陸用戶的信息

修改類：webapps\examples\WEB-INF\classes\HelloWorldExample.java 後從新編譯並替換 webapps\examples\WEB-INF\classes\HelloWorldExample.class文件。

HelloWorldExample.java 修改後的代碼以下：

import java.io.*;

import java.util.*;

import java.util.Map.Entry;

import javax.servlet.*;

import javax.servlet.http.*;

import org.jasig.cas.client.authentication.AttributePrincipal;

import org.jasig.cas.client.util.AbstractCasFilter;

import org.jasig.cas.client.validation.Assertion;

/**

* CAS simple Servlet

* @author <a href="http://www.micmiu.com">Michael Sun</a>

public class HelloWorldExample extends HttpServlet {

private static final long serialVersionUID = -6593274907821061823L;

@SuppressWarnings("unchecked")

public void doGet(HttpServletRequest request, HttpServletResponse response)

throws IOException, ServletException {

ResourceBundle rb = ResourceBundle.getBundle("LocalStrings",

request.getLocale());

response.setContentType("text/html");

PrintWriter out = response.getWriter();

out.println("<html>");

out.println("<head>");

String title = rb.getString("helloworld.title");

out.println("<title>" + title + "</title>");

out.println("</head>");

out.println("<body bgcolor=\"white\">");

out.println("<a href=\"../helloworld.html\">");

out.println("<img src=\"../images/code.gif\" height=24 "

+ "width=24 align=right border=0 alt=\"view code\"></a>");

out.println("<a href=\"../index.html\">");

out.println("<img src=\"../images/return.gif\" height=24 "

+ "width=24 align=right border=0 alt=\"return\"></a>");

out.println("<h1>" + title + "</h1>");

Assertion assertion = (Assertion) request.getSession().getAttribute(

AbstractCasFilter.CONST_CAS_ASSERTION);

if (null != assertion) {

out.println(" Log | ValidFromDate =:"

+ assertion.getValidFromDate() + "<br>");

out.println(" Log | ValidUntilDate =:"

+ assertion.getValidUntilDate() + "<br>");

Map<Object, Object> attMap = assertion.getAttributes();

out.println(" Log | getAttributes Map size = " + attMap.size()

+ "<br>");

for (Entry<Object, Object> entry : attMap.entrySet()) {

out.println(" | " + entry.getKey() + "=:"

+ entry.getValue() + "<br>");

}

AttributePrincipal principal = assertion.getPrincipal();

// AttributePrincipal principal = (AttributePrincipal) request

// .getUserPrincipal();

String username = null;

out.print(" Log | UserName:");

if (null != principal) {

username = principal.getName();

out.println("<span style='color:red;'>" + username

+ "</span><br>");

}

out.println("</body>");

out.println("</html>");

}

再進行上述測試顯示結果以下：

http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample ：

http://app2.micmiu.com:28080/examples/servlets/servlet/HelloWorldExample

從上述頁面能夠看到經過認證的用戶名。

到此已經所有完成了CAS單點登陸實例演示。

來源：http://www.micmiu.com/enterprise-app/sso/sso-cas-sample/

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。