CAS实现单点登录(SSO)经典完整教程

阅读更多

一、简介

                1、cas是有耶鲁大学研发的单点登录服务器

                 2、本教材所用环境

 

  • Tomcat7.2
  • JDK6
  • CAS Service 版本    cas-server-3.4.8-release
  • CAS Client版本      cas-client-3.2.1-release                                

 

    二、生成证书

                            证书对于实现此单点登录非常之重要,证书是服务器端和客户端安全通信的凭证,本教程只是演示,所有用了

                    JDK自带的证书生成工具keytool。当然在实际项目中你可以到专门的证书认证中心购买证书。

                            中文官方网站:http://www.verisign.com/cn/

                   1、用JDK自带的keytool生成证书

                            

[plain]  view plain copy
 
  1. 命令:keytool -genkey -alias  smalllove -keyalg RSA -keystore D:/keys/smallkey  

                   此命令是生成一个证书,其中 smalllove 是证书别名

 

     此命令的执行如图所示:

                    CAS实现单点登录(SSO)经典完整教程_第1张图片

                      其中名字与姓氏这一最好写你的 域名,如果在单击测试你可以在C:\Windows\System32\drivers\etc\hosts文件中映射一个虚拟域名,

              注意不要写IP。

           2、导出证书

                

[plain]  view plain copy
 
  1. 命令:C:\>keytool -export -file d:/keys/small.crt -alias smalllove -keystore d:/keys/smallkey  

                如图:

 

                      

               密码为上步设置的密码。

           3、把证书导入到客户端JDK中。

                

[plain]  view plain copy
 
  1. 命令:keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove  

           此命令是把证书导入到JDK中。

 

           如图:

            CAS实现单点登录(SSO)经典完整教程_第2张图片

          到此证书导入成功。

           注意:在此步有可能出现如下错误

     

[plain]  view plain copy
 
  1. C:\>keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove  
  2.    输入keystore密码:  
  3.  keytool错误: java.io.IOException: Keystore was tampered with, or password was incorrect  

                     次错误的解决方法是,把%JAVA_HOME%\lib\security下的cacerts文件删除掉,在执行。

 

                 

    三、配置服务端

                      1、 下载CAS的服务端,解压,把解压后的文件中modules文件夹中的cas-server-webapp-3.4.8.war文件拷贝的%TOMCAT_HOME%\webapps

               下,并修改文件名为:cas.war。

                             源码下载地址:https://github.com/Jasig/cas/releases

                      2、修改%TOMCAT_HOME%\conf\server.xml文件

                               去掉此文件83到93行之间的注释,修改为:

                       

[html]  view plain copy
 
  1.                maxThreads="150" scheme="https" secure="true"  
  2.                clientAuth="false" sslProtocol="TLS"   
  3.                keystoreFile="D:/keys/smallkey"    
  4.                keystorePass="smalllove"/>         

                     3、以上配置完成访问http://yourhost:8443/cas出现一下页面

 

                                   CAS实现单点登录(SSO)经典完整教程_第3张图片

                          点击继续浏览会出现

                                         CAS实现单点登录(SSO)经典完整教程_第4张图片

                         输入用户名admin和密码admin登录则会出现

                                      CAS实现单点登录(SSO)经典完整教程_第5张图片

                         登录成功。

                         至此,说明服务端配置成功。

   四、配置客户端

                   1、添加客户端到你的项目中

                          ·手动下载下载cas-client,地址:http://downloads.jasig.org/cas-clients/,然后解压cas-client-3.1.12.zip,在modules文件夹中有需要的jar包,                         请根据自己的项目情况选择使用,把相应的jar包放到你项目WEB-INF/lib下。

                   ·使用maven

                              

[html]  view plain copy
 
  1.   
  2.   
  3.     org.jasig.cas.client  
  4.     cas-client-core  
  5.     3.1.12  
  6.   

                2、在客户端项目的web.xml配置过滤器

                        

[html]  view plain copy
 
  1.   
  2.       
  3.       
  4.         org.jasig.cas.client.session.SingleSignOutHttpSessionListener  
  5.       
  6.   
  7.       
  8.       
  9.         CAS Single Sign Out Filter  
  10.         org.jasig.cas.client.session.SingleSignOutFilter  
  11.       
  12.       
  13.         CAS Single Sign Out Filter  
  14.         /*  
  15.       
  16.   
  17.       
  18.       
  19.         CASFilter  
  20.         org.jasig.cas.client.authentication.AuthenticationFilter  
  21.           
  22.             casServerLoginUrl  
  23.             https://www.travel.com:8443/cas/login  
  24.               
  25.           
  26.           
  27.             serverName  
  28.             http://www.travel.com:8080 ①  
  29.           
  30.       
  31.       
  32.         CASFilter  
  33.         /*  
  34.       
  35.   
  36.       
  37.       
  38.         CAS Validation Filter  
  39.           
  40.             org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter  
  41.           
  42.             casServerUrlPrefix  
  43.             https://www.travel.com:8443/cas  
  44.           
  45.           
  46.             serverName  
  47.             http://www.travel.com:8080  ②  
  48.           
  49.       
  50.       
  51.         CAS Validation Filter  
  52.         /*  
  53.       
  54.   
  55.       
  56.       
  57.         CAS HttpServletRequest Wrapper Filter  
  58.           
  59.             org.jasig.cas.client.util.HttpServletRequestWrapperFilter  
  60.       
  61.       
  62.         CAS HttpServletRequest Wrapper Filter  
  63.         /*  
  64.       
  65.   
  66.       
  67.       
  68.         CAS Assertion Thread Local Filter  
  69.         org.jasig.cas.client.util.AssertionThreadLocalFilter  
  70.       
  71.       
  72.         CAS Assertion Thread Local Filter  
  73.         /*  
  74.       
  75.   
  76.       

             

 

 

   五、常见问题说明

                  错误一、

                           CAS实现单点登录(SSO)经典完整教程_第6张图片

         若出现以上错原因是:你在客户端的web.xml中①,②的配置有误。

             错误二、

                         

[plain]  view plain copy
 
  1. javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:   
  2. PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:   
  3. unable to find valid certification path to requested target  

                  若出现次错误是有与你客户端的证书有问题。重新导入你证书。

 

文章出处: http://blog.csdn.net/small_love/article/details/6664831

 

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

 

CAS 取消 HTTPS 验证配置  

 

CAS 取消 HTTPS 验证之后则可以使用HTTP协议进行CAS服务器和Client之间单点登录,安全性低,CAS不建议这样做,但是若在局域网内部使用的话,但用无妨。这样做的话,前面有关服务器端/Client端tomcat的https/ssl配置也可以不用做了

 

1  修改 cas server 下\WEB-INF\deployerConfigContext.xml 文件 

p:requireSecure="false"/>  

增加参数 p:requireSecure="false",是否需要安全验证,即 HTTPS,false 为不采用。

 

2  修改cas server下 \WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml 文件

p:cookieSecure="false" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" />

参数 p:cookieSecure="true",TUE 为采用 HTTPS 验证,与 deployerConfigContext.xml 的参数保持一致。参数 p:cookieMaxAge="-1",简单说是 COOKIE 的最大生命周期,-1 为无生命周期,即只在当  前打开的 IE 窗口有效,IE 关闭或重新打开其它窗口,仍会要求验证。可以根据需要修改为  大于0的数字,比如3600等,意思是在3600秒内,打开任意 IE 窗口,都不需要验证

 

3  修改 cas server 下\WEB-INF\spring-configuration\warnCookieGenerator.xml 文件    两个参数与上面同理

 

 

 

 

  • 手把手教你利用CAS实现单点登录.zip (738 KB)
  • 下载次数: 27

你可能感兴趣的:(cas,单点登录)