統一認證 - Apereo CAS 小試

上一篇文章咱們對Apereo CAS有了簡要的瞭解，這篇文章咱們將動手練習Apereo CAS。主要是CAS單機版的搭設，用戶信息存儲到數據庫，以及dashboard的使用

作這些嘗試的時候，Apereo CAS比較穩定的版本是5.3.x，使用若是想按照這個文章搭設的話，最好採用相同的版本

Apereo CAS單機版的搭設

Apereo CAS秉承耶魯的自由文化傳統，整個產品高度自由化，哪哪都提供了極其靈活的使用方式。好比單機版的部署，通常的軟件提供的單機版都是下載一來，運行某個文件就直接開跑的。Apereo就不一樣，即便是單機版，也要配置一些內容才能夠運行的。

不僅僅是配置，單機版的代碼實現也是能夠改的，並且還能夠很優雅地改，就是能夠在不修改原來代碼的前提下進行修改。Apereo CAS採用了Maven的overlayer 特性，提供了一份CAS的overlayer或者叫template，咱們能夠從下載一份layer ，而後在裏面按照約定的方式，實現功能覆蓋Apereo CAS提供的類，或者配置文件。

git clone https://github.com/apereo/cas-overlay-template

這是Apereo CAS官方提供的一個overlay，你們也能夠下載使用其餘組織提供的overlay。該項目的目錄結構以下:

C:\githome\github\cas\cas-server>ls -l
total 1220
-rw-r--r-- 1 NOTECH 1049089  11560 Jan 25 14:25 LICENSE.txt
-rw-r--r-- 1 NOTECH 1049089   2768 Jan 25 14:28 README.md
-rw-r--r-- 1 NOTECH 1049089   4353 Jan 25 14:28 build.cmd
-rwxr-xr-x 1 NOTECH 1049089   5608 Jan 25 14:28 build.sh
drwxr-xr-x 1 NOTECH 1049089      0 Jan 25 14:25 etc
drwxr-xr-x 1 NOTECH 1049089      0 Jan 25 14:28 maven
-rwxr-xr-x 1 NOTECH 1049089   7332 Jan 25 14:28 mvnw
-rw-r--r-- 1 NOTECH 1049089   5839 Jan 25 14:28 mvnw.bat
-rw-r--r-- 1 NOTECH 1049089   9458 Jan 28 10:15 pom.xml
drwxr-xr-x 1 NOTECH 1049089      0 Jan 25 14:31 src

其實就是一個簡單的maven項目，多了一個etc的目錄，而後pom文件裏面有一個cas-server-webapp的overlayer依賴。這時咱們能夠直接跑mvn package， 同樣會生成相應的cas包，只是這個包跑不起來，由於cas須要一些配置才能起來的。

前面說了overlayer會按照目錄路徑進行覆蓋，也就是若是overlayer的項目裏面有文件路徑相同，那麼打包的時候就會進行覆蓋。而上一篇blog說了，Apereo CAS是基於springboot的開發的，那麼咱們要覆蓋對應的配置文件，那就新建src\main\resources目錄。

安全證書

首先，Apereo CAS做爲一個安全的統一認證中心，那麼自己也要安全的吧。全部它提供了HTTPS的連接方式，也就意味着咱們須要提供一個keystore。命令行打開目錄cas-server/src/main/resources/etc/cas，執行如下命令生成對應的keystore

keytool -genkey -keyalg RSA -alias thekeystore -keystore thekeystore 
-storepass changeit -validity 360 -keysize 2048

changeit 是這個keystore的密碼，最好改爲你本身的密碼，固然，做爲demo用這個也是能夠的

接着咱們要把這個keystore導成證書給客戶端用：

keytool -export -alias thekeystore -file thekeystore.crt 
-keystore thekeystore

如今咱們要把這個導出來的證書導進去JVM裏面

keytool -import -alias thekeystore -storepass changeit -file thekeystore.crt -keystore "C:\Program Files\Java\jdk1.8.0_101\jre\lib\security\cacerts"

keytool -import -alias thekeystore -storepass changeit -file thekeystore.crt -keystore "C:\Program Files\Java\jre1.8.0_101\lib\security\cacerts"

CAS配置

接着咱們把證書的路徑，CAS啓動端口等信息配置到springboot標準的配置文件application.properties裏面。

server.context-path=/cas
server.port=6443

server.ssl.key-store=classpath:/etc/cas/thekeystore
server.ssl.key-store-password=changeit
server.ssl.key-password=changeit

好了，打包build package,而後build run跑一下看看。應該能夠看到CAS的默認登陸頁面 https://localhost:6443/cas

驗證信息存儲

好了，到這時可能發現：天啦嚕！用哪一個用戶能夠登陸啊？ 從頭至尾都沒有用戶信息的配置，而按照咱們所瞭解的Apereo CAS的尿性，它可不會有什麼默認值的。爲簡單試玩一下，咱們能夠直接在上面的application.properties文件裏面，直接hardcode一個用戶在裏面，以下：

cas.authn.accept.users=casuser::Mellon

從新build package,build run，打開登陸頁面 https://localhost:6443/cas， 輸入用戶名casuser，密碼Mellon，應該就能夠登陸成功了

把用戶信息hardcode在配置文件顯然是很helloworld的作法，CAS提供了不少用戶信息存儲方式，有各類DB，LDAP等。具體能夠參考官網的配置文件，有很詳細的說明 https://apereo.github.io/cas/...

此次咱們採用的是MYSQL的連接方式。首先咱們要在overlayers的pom文件裏面添加JDBC的support，以下：

<dependency>
                    <groupId>org.apereo.cas</groupId>
                    <artifactId>cas-server-support-jdbc</artifactId>
                    <version>${cas.version}</version>
                </dependency>
                <dependency>
                    <groupId>org.apereo.cas</groupId>
                    <artifactId>cas-server-support-jdbc-drivers</artifactId>
                    <version>${cas.version}</version>
                </dependency>

而後仍是在原來的application.properties文件裏面，把authentication的相關配置寫上：

cas.authn.jdbc.query[0].sql=select * from cms_auth_user where user_name=?
cas.authn.jdbc.query[0].healthQuery=
cas.authn.jdbc.query[0].isolateInternalQueries=false
cas.authn.jdbc.query[0].url=jdbc:mysql://127.0.0.1:3306/CASTEST?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false
cas.authn.jdbc.query[0].failFast=true
cas.authn.jdbc.query[0].isolationLevelName=ISOLATION_READ_COMMITTED
cas.authn.jdbc.query[0].dialect=org.hibernate.dialect.MySQLDialect
cas.authn.jdbc.query[0].leakThreshold=10
cas.authn.jdbc.query[0].propagationBehaviorName=PROPAGATION_REQUIRED
cas.authn.jdbc.query[0].batchSize=1
cas.authn.jdbc.query[0].user=root
#cas.authn.jdbc.query[0].ddlAuto=create-drop
cas.authn.jdbc.query[0].maxAgeDays=180
cas.authn.jdbc.query[0].password=123456
cas.authn.jdbc.query[0].autocommit=false
cas.authn.jdbc.query[0].driverClass=com.mysql.jdbc.Driver
cas.authn.jdbc.query[0].idleTimeout=5000

這裏只是列出了一些必要的配置，好比driver.class是什麼，query的語句是什麼，鏈接哪一個數據庫等等。配置成功後，咱們能夠在數據庫裏面插入一兩個用戶試試

CAS監控中心

Apereo CAS提供了一個監控中心, 當你們登陸CAS成功後，滿懷但願地點擊dashboard的連接時，展現給你們的是冷冷的 "Access Denied"頁面！ 無良啊無良，高度地自由是有代價的！！！ CAS認爲你們默認是不須要這個功能的，因此默認是關閉的！ 咱們須要經過配置文件打開這個功能！ 你覺得只要打開endpoints.enabled=true就能夠了嗎？ 咱們把CAS想簡單的，這傢伙龜毛到每個監控的功能都須要獨立打開的！因此就有了下面長長的一個配置文件！

endpoints.enabled=true
endpoints.sensitive=false

endpoints.restart.enabled=false
endpoints.shutdown.enabled=false

management.security.enabled=true
management.security.roles=ACTUATOR,ADMIN
management.security.sessions=if_required
management.context-path=/status
management.add-application-context-header=false

security.basic.authorize-mode=role
security.basic.enabled=false
security.basic.path=/cas/status/**

cas.adminPagesSecurity.ip=.+

cas.monitor.endpoints.dashboard.enabled=true 
cas.monitor.endpoints.dashboard.sensitive=false

cas.monitor.endpoints.discovery.enabled=true 
cas.monitor.endpoints.discovery.sensitive=false

cas.monitor.endpoints.auditEvents.enabled=true 
cas.monitor.endpoints.auditEvents.sensitive=false

cas.monitor.endpoints.authenticationEvents.enabled=true 
cas.monitor.endpoints.authenticationEvents.sensitive=false

cas.monitor.endpoints.configurationState.enabled=true 
cas.monitor.endpoints.configurationState.sensitive=false

cas.monitor.endpoints.healthCheck.enabled=true 
cas.monitor.endpoints.healthCheck.sensitive=false

cas.monitor.endpoints.loggingConfig.enabled=true 
cas.monitor.endpoints.loggingConfig.sensitive=false

cas.monitor.endpoints.metrics.enabled=true 
cas.monitor.endpoints.metrics.sensitive=false

cas.monitor.endpoints.attributeResolution.enabled=true 
cas.monitor.endpoints.attributeResolution.sensitive=false

cas.monitor.endpoints.singleSignOnReport.enabled=true 
cas.monitor.endpoints.singleSignOnReport.sensitive=false

cas.monitor.endpoints.statistics.enabled=true 
cas.monitor.endpoints.statistics.sensitive=false

cas.monitor.endpoints.trustedDevices.enabled=true 
cas.monitor.endpoints.trustedDevices.sensitive=false

cas.monitor.endpoints.status.enabled=true 
cas.monitor.endpoints.status.sensitive=false

cas.monitor.endpoints.singleSignOnStatus.enabled=true 
cas.monitor.endpoints.singleSignOnStatus.sensitive=false

cas.monitor.endpoints.springWebflowReport.enabled=true 
cas.monitor.endpoints.springWebflowReport.sensitive=false

cas.monitor.endpoints.registeredServicesReport.enabled=true 
cas.monitor.endpoints.registeredServicesReport.sensitive=false

cas.monitor.endpoints.configurationMetadata.enabled=true 
cas.monitor.endpoints.configurationMetadata.sensitive=false

這裏是實在受不了CAS的配置粒度細微到懷疑人生，因此adminSercurity沒有打開，放開給全部的IP全部的用戶，只要登陸成功後均可以訪問