CAS单点登录配置(HTTP协议版本)
一、CAS版本:
服务端是cas-server-3.4.7。这里不需要源代码,解压zip包中的cas-server-webapp-3.4.7.war出来即可。
客户端是cas-client-3.2.0。这里主要用到cas-client-core-3.2.0.jar包,当然在后面如果需要用到,可自行添加。Apache的日志包这里常用的包是需要的。
二、环境搭建
Tomcat6.x + JDK6.x
关于搭建基本环境,网上已经一大把:
官方WIKI:https://wiki.jasig.org/display/CASUM/Home
IBM技术社区:http://www.ibm.com/developerworks/cn/opensource/os-cn-cas/
ITeye技术社区:http://www.iteye.com/topic/544899
还有很多就不列举了。
总体来说,使用Http协议的CAS比Https版本的步骤少了ssl的配置,然后在服务端需要修改部分配置文件即可。基本上的配置是大同小异的,下面就详细记录下来,日后参考。
三、部署配置
环境搭建完毕后,按下面的步骤,按部就班走完下面的步骤即可
1.CAS服务端配置。服务端主机名假定为sso.ican.org。
(1).端口配置。我们不使用8443,直接使用80端口,这样看上去舒服点。
进入部署CAS服务端的Tomcat的conf目录下,配置service.xml即可,主要代码如下:
[code="java"]...
...
...
...
注意到这里之际设置默认的主机是sso.ican.org了,另外我将下载下来的cas-server-webapp-3.4.7.war解压到Eclipse中的一个工程中去了(G:/projects/sso.ican.org/web目录下),同时把docBase指向该工程的目录下,这样可以随时在IDE中修改配置文件,比用普通的文本编辑器编辑配置文件方便很多。
基本Tomcat的配置修改到此完成了。
2.配置CAS服务应用程序的配置文件
主要有WEB-INF有cas.properties、deployerConfigContext.xml以及WEB-INF子目录spring-configuration下的ticketGrantingTicketCookieGenerator.xml、warnCookieGenerator.xml。修改这些文件后,就可以使用http协议以及80端口来访问CAS登录认证接口了。下面按顺序列出主要的修改和说明:
cas.properties文件,把localhost替换为正式的主机名sso.ican.org,以及去掉了8080端口和cas上下文目录:
[code="java"]cas.securityContext.serviceProperties.service=http://sso.ican.org/services/j_acegi_cas_security_check
# Names of roles allowed to access the CAS service manager
cas.securityContext.serviceProperties.adminRoles=ROLE_ADMIN
cas.securityContext.casProcessingFilterEntryPoint.loginUrl=http://sso.ican.org/login
cas.securityContext.ticketValidator.casServerUrlPrefix=http://sso.ican.org
cas.themeResolver.defaultThemeName=cas-theme-default
cas.viewResolver.basename=default_views
host.name=cas
#database.hibernate.dialect=org.hibernate.dialect.OracleDialect
#database.hibernate.dialect=org.hibernate.dialect.MySQLDialect
database.hibernate.dialect=org.hibernate.dialect.HSQLDialect
deployerConfigContext.xml文件,在前面添加了数据源与密码编码器Bean,这个在后面验证用户登录信息时候会用到;同时替换原来user=password的简单验证bean;以及设置验证不要求使用安全的https方式(p:requireSecure="false"):
[code="java"]...
oracle.jdbc.driver.OracleDriverjdbc:oracle:thin:@172.16.172.180:1521:developbase_gzdevelop
...
...
ticketGrantingTicketCookieGenerator.xml文件中将cookie安全要求为false,因为我们用的是http协议而不是https协议
[code="java"]
同样warnCookieGenerator.xml文件中也设置cookie安全要求为false,这样,我们就完成了使用HTTP协议版本的CAS服务端了。
[code="java"]
Web.xml不需要设置任何东西,使用现成的就可以了。
3.配置CAS客户端,示例中的客户端主机名师www.easycode.com,使用8080端口访问。
CAS客户端的配置主要就是一个web.xml文件:
[code="java"] CAS Single Sign Out Filterorg.jasig.cas.client.session.SingleSignOutFilterCAS Authentication Filterorg.jasig.cas.client.authentication.AuthenticationFiltercasServerLoginUrlhttp://sso.ican.org/loginserverNamehttp://www.easycode.com:8080CAS Validation Filterorg.jasig.cas.client.validation.Cas10TicketValidationFiltercasServerUrlPrefixhttp://sso.ican.orgserverNamehttp://www.easycode.com:8080CAS HttpServletRequest Wrapper Filterorg.jasig.cas.client.util.HttpServletRequestWrapperFilterCAS Assertion Thread Local Filterorg.jasig.cas.client.util.AssertionThreadLocalFilterCAS Single Sign Out Filter/*CAS Authentication Filter/servlets/*CAS Validation Filter/servlets/*CAS HttpServletRequest Wrapper Filter/servlets/*CAS Assertion Thread Local Filter/servlets/*org.jasig.cas.client.session.SingleSignOutHttpSessionListenerLogoutServletsso.iss.test.LogoutServletcasServerLogoutUrlhttp://sso.ican.org/logout
详细配置可以参考这里:
https://wiki.jasig.org/display/CASUM/End-to-end+Windows+Example
我从Tomcat的示例程序中copy了servlet的例子到客户端程序中,也就是servlets目录的资源是需要登录才能访问的。
编写一些示例页面index.html,方便测试。为了验证当点登出,同时配置另外一个CAS客户端download.easycode.com。详细见附件。sso.ican.org的包太大,按照文档下载CAS的程序解压下来然后按上面的步骤修改即可