03单点登录CAS5.3.4集成客户端
参照网址
参照网址
server代码地址
client1代码地址
client2代码地址
之前一直是server端登录验证。所谓单点登录(SSO),只当企业用户同时访问多个不同(类型的)应用时,他们只需要提供自身的用户凭证信息(比如用户名/密码)一次,当用户在不同的应用间切换时,他们不用再重复地输入自身的用户凭证了。所以此章写一下cas如何整合客户端
1.配置Host
#cas服务端
127.0.0.1 server.guangyuanbj.com
#客户端1
127.0.0.1 client1.guangyuanbj.com
#客户端2
127.0.0.1 client2.guangyuanbj.com
2.cas服务端授权客户端
2.1 在cas-server-base的resources下新建文件夹services,新建配置文件web-10000001.json
{
"@class" : "org.apereo.cas.services.RegexRegisteredService",
"serviceId" : "^(https|imaps|http)://.*",
"name" : "web",
"id" : 10000001,
"description" : "所有的https或者http访问都允许通过",
"evaluationOrder" : 100
}
注意:services目录中可包含多个JSON文件,其命名必须满足以下规则: n a m e − {name}- name−{id}.json,id必须为json文件中内容id一致。
- 对其中属性的说明如下,更多详细内容见官方文档-Service-Management。
- @class:必须为org.apereo.cas.services.RegisteredService的实现类
- serviceId:对服务进行描述的表达式,可用于匹配一个或多个 URL 地址
- name: 服务名称
- id:全局唯一标志
- description:服务描述,会显示在默认登录页
- evaluationOrder:定义多个服务的执行顺序
因为在CAS服务中,默认是提供了默认的Service配置项,所以如果添加的Json配置没起作用,可以尝试注释掉默认启动Json,在pom.xml文件里面进行配置,如下:
org.apache.maven.plugins
maven-war-plugin
2.6
cas
false
false
false
${project.build.directory}/war/work/org.apereo.cas/cas-server-webapp${app.server}/META-INF/MANIFEST.MF
org.apereo.cas
cas-server-webapp${app.server}
**/services/*.json
2.2 配置好service之后,根据官方文档-service-registry,还需修改 application.properties 文件告知 CAS 服务端从本地加载服务定义services文件
#注册客户端
# 开启识别Json文件,默认false
cas.serviceRegistry.initFromJson=true
#自动扫描服务配置,默认开启
cas.serviceRegistry.watcherEnabled=true
#120秒扫描一遍
cas.serviceRegistry.schedule.repeatInterval=120000
#延迟15秒开启
cas.serviceRegistry.schedule.startDelay=15000
# Json配置
cas.serviceRegistry.json.location=classpath:/services
cas.serviceRegistry.managementType=DEFAULT
cas.logout.followServiceRedirects=true
2.3 添加pom
org.apereo.cas
cas-server-support-json-service-registry
${cas.version}
至此 cas server端配置完成
3.客户端配置
3.1 搭建客户端
下载官方提供的CAS Java客户端,cas-sample-java-webapp
3.2 修改pom.xml文件
org.apache.tomcat.maven
tomcat7-maven-plugin
2.2
8081
UTF-8
tomcat7
/
将自带的jetty插件注释
3.3 修改web.xml 让客户端与服务端关联起来
客户端2的配置类似,只要将其中的http://client1.guangyuanbj.com:8081修改为http://client2.guangyuanbj.com:8082
cas-app
org.jasig.cas.client.session.SingleSignOutHttpSessionListener
CAS Single Sign Out Filter
org.jasig.cas.client.session.SingleSignOutFilter
casServerUrlPrefix
https://server.guangyuanbj.com:8443/cas
CAS Single Sign Out Filter
/*
CAS Filter
org.jasig.cas.client.authentication.AuthenticationFilter
casServerLoginUrl
https://server.guangyuanbj.com:8443/cas/login
serverName
http://client1.guangyuanbj.com:8081
CAS Filter
/*
CAS Validation Filter
org.jasig.cas.client.validation.Cas30ProxyReceivingTicketValidationFilter
casServerUrlPrefix
https://server.guangyuanbj.com:8443/cas
serverName
http://client1.guangyuanbj.com:8081
CAS Validation Filter
/*
CAS HttpServletRequest Wrapper Filter
org.jasig.cas.client.util.HttpServletRequestWrapperFilter
CAS HttpServletRequest Wrapper Filter
/*
CAS Assertion Thread Local Filter
org.jasig.cas.client.util.AssertionThreadLocalFilter
CAS Assertion Thread Local Filter
/*
3.4 修改登录后index.jsp标记登录的系统是哪个系统,用于区分客户端1.客户端2
当前为客户端2
客户端1
客户端2
3.5 启动测试
浏览器输入http://client1.guangyuanbj.com:8081会调转到https://server.guangyuanbj.com:8443/cas/login页面,但是重定向回client1时报证书找不到
该问题网上都说是客户端jdk未导入证书导致的,但是我服务端和客户端是在同一台电脑上配置的,之前jdk就导入了证书
一直没有找到原因,很纳闷哪里有问题呀
因公司也只是局域网使用单点登录,所以暂时考虑去掉SSL步骤如下:
参考网址
1、服务端的Tomcat改回普通的http Connector访问,比如用原来的8080端口配置方式。
2、建议从客户端jre的证书仓库中删掉之前为做HTTPS单点登录加的那个证书:
keytool -delete -alias cas -keystore C:/Java/jdk1.8.0_91/jre/lib/security/cacerts
做完这两步还不够,你会发现每个客户端的访问虽然都需要登录服务端,但是彼此的登录状态是不互通的。所以还有第三步
3、在application.properties里加上这么一句:
cas.tgc.secure=false
如果登录状态还是不互通,请清空浏览器的cookie,重开浏览器试试。