CAS ( Central Authentication Service ) 是 Yale 大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(属于 Web SSO )。本文讲解基于4.2.7版本的cas server,并利用war overlay技术做一些简单的定制化,如提供http方式认证,简单的login界面修正。
war overlay 是一种在多个web应用中共享资源的技术,基本思想就是,当我们依赖了一个war包,并在plugin的overlay配置后,最终打成的war包会把我们自己工程中的类文件和资源文件和依赖的war包合并到一起,如果我们自己工程在同样目录下有一个和依赖war包一样的文件,我们工程的文件将覆盖war包中的同名文件
环境:
cas server版本:4.2.7
1.项目结构
其中HTTPSandIMAPS-10000001.json、casLoginView.jsp、cas.properties都是从解压后的cas-server-webapp war包中copy的,每一个文件都是为了解决遇到的问题才重写的,下面就结合遇到的问题,一一讲述这些文件
2.为了能够用http连接cas server,需要修改cas.properties,具体做法就是将解压后的/src/main/webapp/WEB-INF/cas.properties文件copy到自己工程同目录下,修改
tgc.secure=false ... warn.cookie.secure=false
将上面的两个属性修改成false
3.搭建过程中遇到的第一个问题
默认情况下,CAS服务只支持HTTPS和IMPS访问,如果我们直接用http来连接cas server,会出现:Application Not Authorized to Use CAS 的错误
解决办法,就是重写cas server war包中HTTPSandIMAPS-10000001.json这个文件,追加http支持,具体就是将:/src/main/webapp/WEB-INF/classes/services/HTTPSandIMAPS-10000001.json 拷贝到自己的工程中,修改serviceId的值,追加http支持
{
"@class" : "org.jasig.cas.services.RegexRegisteredService",
"serviceId" : "^(https|imaps|http)://.*",
"name" : "HTTPS and IMAPS and HTTP",
"id" : 10000001,
"description" : "This service definition authorized all application urls that support HTTPS and IMAPS and http protocols.",
"proxyPolicy" : {
"@class" : "org.jasig.cas.services.RefuseRegisteredServiceProxyPolicy"
},
"evaluationOrder" : 10000,
"usernameAttributeProvider" : {
"@class" : "org.jasig.cas.services.DefaultRegisteredServiceUsernameProvider"
},
"logoutType" : "BACK_CHANNEL",
"attributeReleasePolicy" : {
"@class" : "org.jasig.cas.services.ReturnAllowedAttributeReleasePolicy",
"principalAttributesRepository" : {
"@class" : "org.jasig.cas.authentication.principal.DefaultPrincipalAttributesRepository"
},
"authorizedToReleaseCredentialPassword" : false,
"authorizedToReleaseProxyGrantingTicket" : false
},
"accessStrategy" : {
"@class" : "org.jasig.cas.services.DefaultRegisteredServiceAccessStrategy",
"enabled" : true,
"ssoEnabled" : true
}
}
4.搭建过程遇到的第二个问题
按照第二步修改完后,启动项目,输入
登录页面会有如下警告
You are currently accessing CAS over a non-secure connection. Single Sign On WILL NOT WORK. In order to have single sign on work, you MUST log in over HTTPS.
解决办法,重写默认的登录页,将src/main/webapp/WEB-INF/view/jsp/default/ui/casLoginView.jsp拷贝到自己工程同样目录下,删除jsp中的如下片段
<c:if test="${not pageContext.request.secure}">
<div id="msg" class="errors">
<h2>Non-secure Connection</h2>
<p>You are currently accessing CAS over a non-secure connection. Single Sign On WILL NOT WORK. In order to have single sign on work, you MUST log in over HTTPS.</p>
</div>
</c:if>
5.项目pom文件
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <groupId>falcon.chengf</groupId> <artifactId>security-samples-javaconfig-cas-server</artifactId> <version>0.0.1-SNAPSHOT</version> <packaging>war</packaging> <name>security-samples-javaconfig-cas-server</name> <url>http://maven.apache.org</url> <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <cas.version>4.2.7</cas.version> </properties> <dependencies> <!-- https://mvnrepository.com/artifact/org.jasig.cas/cas-server-webapp --> <!-- https://mvnrepository.com/artifact/org.jasig.cas/cas-server-webapp --> <dependency> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-webapp</artifactId> <version>4.2.7</version> <type>war</type> <scope>runtime</scope> </dependency> <!-- https://mvnrepository.com/artifact/org.slf4j/slf4j-api --> <dependency> <groupId>org.slf4j</groupId> <artifactId>slf4j-api</artifactId> <version>1.7.25</version> </dependency> <!-- https://mvnrepository.com/artifact/com.fasterxml.jackson.core/jackson-annotations --> <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-annotations</artifactId> <version>2.9.4</version> </dependency> <dependency> <groupId>junit</groupId> <artifactId>junit</artifactId> <version>3.8.1</version> <scope>test</scope> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-war-plugin</artifactId> <configuration> <failOnMissingWebXml>false</failOnMissingWebXml> <overlays> <overlay> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-webapp</artifactId> </overlay> </overlays> </configuration> </plugin> </plugins> </build> </project>
6.启动服务发布到tomcat:
在浏览器中输入:http://localhost:8080/cas-server/login,我们就会进入到登录界面(cas-server要和tomcat中path一致)
7.启动后参照网上说法,输入用户名和密码相同的用户发现不能登录,调查发现
cas V4.2版本以后默认的AuthenticationHandler是AcceptUsersAuthenticationHandler,验证不再是密码和用户名相同,而是用配置的用户名和密码
@Value("${accept.authn.users:}")
private String acceptedUsers;
具体的配置信息在 /src/main/webapp/WEB-INF/cas.properties里面
accept.authn.users=casuser::Mellon
所以输入用户名:casuser,秘密Mellon,点解login,后进入登录成功页面
下载源码