单点登录cas jasig学习笔记

1 什么是单点登录 
  单点登录(Single Sign On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 
  CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架 

    CAS 介绍 
   CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点: 
    •开源的企业级单点登录解决方案。 
    •CAS Server 为需要独立部署的 Web 应用。 
    •CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。 
    CAS 原理和协议 
      从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求, 
      需要登录时,重定向到 CAS Server 
2 使用cas   jasig 
    1 下载服务端与客户端 
       服务端 http://downloads.jasig.org/cas/ 
   客户端 http://downloads.jasig.org/cas-clients/ 
    2 服务端安装 
        我使用 cas-server-3.5.2-release版本  解压后在 modules目录下有一个cas-server-webapp-3.5.2.war包(我改为cas.war包),部署到服务器即可启动服务端  访问应用会进入登录界面, 
    cas默认只要用户名与密码相同就通过验证 
    3 客户端安装 
         1 编写一个web应用,客户端web应用需要到以下jar 
        我使用 cas-client-3.2.1-release版本  解压后在 modules目录下选择需要的jar包拷贝至你的web应用程序,我需要以下jar包 
            cas-client-core-3.2.1.jar 
            commons-codec-1.4.jar 
            commons-logging-1.1.jar 
            ehcache-core-2.2.0.jar 
            juli-6.0.29.jar 
            slf4j-api-1.5.11.jar 
            xmlsec-1.3.0.jar 
          2 web.xml中配置过滤器  以下配置是假设你的服务端应用上下文为cas 

           <!-- 用于单点退出,该过滤器用于实现单点登出功能,通知其他应用单点登出 --> 

           <listener> 
               <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class> 
           </listener> 

           <!-- 该过滤器用于实现单点登出功能,可选配置。 --> 

           <filter> 
               <filter-name>CAS Single Sign Out Filter</filter-name> 
               <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> 
           </filter> 
           <filter-mapping> 
               <filter-name>CAS Single Sign Out Filter</filter-name> 
               <url-pattern>/*</url-pattern> 
           </filter-mapping> 


           <!-- 该过滤器负责用户的认证工作,必须启用它 --> 
           <filter> 
               <filter-name>CASFilter</filter-name> 
               <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class> 
               <init-param> 
                   <param-name>casServerLoginUrl</param-name> 
                   <param-value>http://localhost:8080/cas/login</param-value> 
                   <!--这里的server是服务端的IP --> 
               </init-param> 
               <init-param> 
                   <param-name>serverName</param-name> 
                   <param-value>http://localhost:8080</param-value> 
               </init-param> 
           </filter> 
           <filter-mapping> 
               <filter-name>CASFilter</filter-name> 
               <url-pattern>/*</url-pattern> 
           </filter-mapping> 

           <!-- 该过滤器负责对Ticket的校验工作,必须启用它 --> 
           <filter> 
               <filter-name>CAS Validation Filter</filter-name> 
               <filter-class> 
                   org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter 
               </filter-class> 
               <init-param> 
                   <param-name>casServerUrlPrefix</param-name> 
                   <param-value>http://localhost:8080/cas</param-value> 
               </init-param> 
               <init-param> 
                   <param-name>serverName</param-name> 
                   <param-value>http://localhost:8080</param-value> 
               </init-param> 
           </filter> 
           <filter-mapping> 
               <filter-name>CAS Validation Filter</filter-name> 
               <url-pattern>/*</url-pattern> 
           </filter-mapping> 



          3 访问客户端应用,会进入cas的统一登录界面,因为我们在web.xml中配置了过滤器以及访问地址 
      4  如果我们不使用https访问,想实现单点登录,则需要修改两处 
         1 修改服务端下的 cas/WEB-INF/deployerConfigContext.xml 
       <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/> 
           增加参数p:requireSecure="false",是否需要安全验证,即HTTPS,false为不采用,加上去之后如下: 
       <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" p:requireSecure="false"/> 
             2、cas/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml 
           <bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" 
           p:cookieSecure="true" 
           p:cookieMaxAge="-1" 
           p:cookieName="CASTGC" 
           p:cookiePath="/cas" /> 
                参数p:cookieSecure="true",同理为HTTPS验证相关,TRUE为采用HTTPS验证,FALSE为不采用https验证。 
                参数 p:cookieMaxAge="-1",简单说是COOKIE的最大生命周期,-1为无生命周期,即只在当前打开的IE窗口有效,IE关闭或重新打开其 它窗口,仍会要求验证。 
        可以根据需要修改为大于0的数字,比如3600等,意思是在3600秒内,打开任意IE窗口,都不需要验证。 
        3 编写第2个web应用,配置第一个web应用一样,我们可以测试在第一个应用登陆后,再访问第2个应用已经不需要登录,实现了单点登录功能 

3 单点登出 
   <a href="http://localhost:8080/cas/logout?service=http://localhost:8080/Casclient/index.jsp">退出</a><br/> 
4 获取登陆用户的信息 配置HttpServletRequestWrapperFilter过滤器 
      <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 --> 
           <filter> 
               <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> 
               <filter-class> 
                   org.jasig.cas.client.util.HttpServletRequestWrapperFilter 
               </filter-class> 
           </filter> 
           <filter-mapping> 
               <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> 
               <url-pattern>/*</url-pattern> 
           </filter-mapping> 

           <filter> 
               <filter-name>CAS Assertion Thread Local Filter</filter-name> 
               <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class> 
           </filter> 
           <filter-mapping> 
               <filter-name>CAS Assertion Thread Local Filter</filter-name> 
               <url-pattern>/*</url-pattern> 
           </filter-mapping> 

       之后使用request.getRemoteUser() 
5 改变默认的cas服务端 
   1 使用数据库登录 
       1 需要cas-server-support-jdbc-3.5.2.jar,该包在服务端解压后在 modules目录下,拷贝到服务端的web应用 
       2 修改服务端应用中的WEB-INF下的deployerConfigContext.xml 
      cas服务默认用户名与密码相同即可通过验证,是因为给org.jasig.cas.authentication.AuthenticationManagerImpl的属性authenticationHandlers注入org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler 
      把该注入去掉,换成注入org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler,该类在cas-server-support-jdbc-3.5.2.jar包中,如下 
.....
<!--bean  class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" /-->
<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"> 
                       <property name="dataSource"  ref="dataSource" /> 
                       <property name="sql"  value="select password from userinfo where username = ?" /> <!--确保自己数据库中有 userinfo 表,以及表字段 username , password --> 
                       <property name="passwordEncoder" ref="passwordEncoder" /><!--如果不注入, 则明码验证--> 
                   </bean> 
</list>
</property>
</bean>
 
    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">  
<property name="driverClassName" value="com.mysql.jdbc.Driver"/>  
<property name="url" value="jdbc:mysql://192.168.1.2:3306/mysql"/>  
<property name="username" value="root"/>  
<property name="password" value="root"/>   
</bean> 
<bean id="passwordEncoder" 
           class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire="byName"> 
           <constructor-arg value="MD5"/> 
     </bean> 
           上面的dataSource配置成自己的数据源
          对于passwordEncoder,如果不注入,则明码验证,以下是注入的一个例子,直接使用cas提供的DefaultPasswordEncode,可自己实现PasswordEncoder接口编写加密方法 
          <bean id="passwordEncoder" 
           class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire="byName"> 
           <constructor-arg value="MD5"/> 
        </bean> 

         在代码中使用DefaultPasswordEncoder。如字符串"aaa"经MD5加密 
           DefaultPasswordEncoder encoder=new DefaultPasswordEncoder("MD5"); 
       System.out.println(encoder.encode("aaa")); 
             控制台输出 47bce5c74f589f4867dbd57e9ca9f808 




       3   修改默认的页面 
         1 cas默认的页面在cas\WEB-INF\view\jsp\default\ui 下 
          例如: 
       登录界面:casLoginView.jsp 
       登录成功:casGenericSuccess.jsp 
       登出界面:casLogoutView.jsp 
          2 CAS 的页面采用 Spring 框架编写,在cas/WEB-INF/classes/default_views.properties 可以找到对应的视图解析,可以修改cas/WEB-INF/cas-servlet.xml ”文件中的 viewResolver, 
            举个例子 
              <bean id="viewResolver"      class="org.springframework.web.servlet.view.ResourceBundleViewResolver" p:order="0">   
                  <property name="basenames">        
                    <list>           
                     <value>${cas.viewResolver.basename}</value>          
                     <value>properties基础名</value>       
                     </list>    
                  </property> 
              </bean> 
6 在tomcat中 使用https  需要生成证书 
     1 使用jdk的keytool命令生成证书 
       1 首先要进入“C:/Program Files/Java/jdk1.6.0_02/jre/lib/security”;其中C:/Program Files/Java/jdk1.6.0_02为jdk的安装路径; 
         keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=localhost" -keystore server.keystore -storepass changeit  
         其中cn=localhost cn不能使用ip ,cas建议使用域名 
       2 导出证书到证书文件server.cer 
         keytool -export -alias tomcatsso -file server.cer -keystore server.keystore -storepass changeit 
           3 导入证书到jdk 
               keytool -import -alias tomcatsso -file server.cer -keystore cacerts -storepass changeit 
      2 打开%CATALINA_HOME%/conf/server.xml,找到如下内容: 
           <!-- 
           <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 
                  maxThreads="150" scheme="https" secure="true" 
                  clientAuth="false" sslProtocol="TLS" /> 
           --> 

      将其换成如下内容 

           <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true" 
                  maxThreads="150" scheme="https" secure="true" 
                  clientAuth="false" sslProtocol="TLS" 
             keystorePass="changeit" keystoreFile="C:/Program Files/Java/jdk1.6.0_02/jre/lib/security/server.keystore"/> 



        问题 若输入错误,想重新生成证书,可先用以下两句话将已安装的证书去除 
           keytool -delete -alias tomcatsso -keystore cacerts 
           keytool -delete -alias tomcatsso -keystore server.keystore 
       3 恢复前面在cas服务端去掉https而修改的两处,cas就可以使用https了

猜你喜欢

转载自canhai.iteye.com/blog/2063970
0条评论
添加一条新回复