Overlay-Cas server搭建

阅读更多

前言：
  CAS （ Central Authentication Service ） 是 Yale 大学发起的一个企业级的、开源的项目，旨在为 Web 应用系统提供一种可靠的单点登录解决方法（属于 Web SSO ）。本文讲解基于4.2.7版本的cas server，并利用war overlay技术做一些简单的定制化，如提供http方式认证，简单的login界面修正。
war overlay 是一种在多个web应用中共享资源的技术，基本思想就是，当我们依赖了一个war包，并在plugin的overlay配置后，最终打成的war包会把我们自己工程中的类文件和资源文件和依赖的war包合并到一起，如果我们自己工程在同样目录下有一个和依赖war包一样的文件，我们工程的文件将覆盖war包中的同名文件

环境：
  cas server版本：4.2.7

1.项目结构



其中HTTPSandIMAPS-10000001.json、casLoginView.jsp、cas.properties都是从解压后的cas-server-webapp war包中copy的，每一个文件都是为了解决遇到的问题才重写的，下面就结合遇到的问题，一一讲述这些文件
2.为了能够用http连接cas server，需要修改cas.properties,具体做法就是将解压后的/src/main/webapp/WEB-INF/cas.properties文件copy到自己工程同目录下，修改

tgc.secure=false
...
warn.cookie.secure=false

将上面的两个属性修改成false

3.搭建过程中遇到的第一个问题
默认情况下，CAS服务只支持HTTPS和IMPS访问，如果我们直接用http来连接cas server，会出现：Application Not Authorized to Use CAS 的错误
解决办法，就是重写cas server war包中HTTPSandIMAPS-10000001.json这个文件，追加http支持，具体就是将：/src/main/webapp/WEB-INF/classes/services/HTTPSandIMAPS-10000001.json 拷贝到自己的工程中，修改serviceId的值，追加http支持

{
  "@class" : "org.jasig.cas.services.RegexRegisteredService",
  "serviceId" : "^(https|imaps|http)://.*",
  "name" : "HTTPS and IMAPS and HTTP",
  "id" : 10000001,
  "description" : "This service definition authorized all application urls that support HTTPS and IMAPS and http protocols.",
  "proxyPolicy" : {
    "@class" : "org.jasig.cas.services.RefuseRegisteredServiceProxyPolicy"
  },
  "evaluationOrder" : 10000,
  "usernameAttributeProvider" : {
    "@class" : "org.jasig.cas.services.DefaultRegisteredServiceUsernameProvider"
  },
  "logoutType" : "BACK_CHANNEL",
  "attributeReleasePolicy" : {
    "@class" : "org.jasig.cas.services.ReturnAllowedAttributeReleasePolicy",
    "principalAttributesRepository" : {
      "@class" : "org.jasig.cas.authentication.principal.DefaultPrincipalAttributesRepository"
    },
    "authorizedToReleaseCredentialPassword" : false,
    "authorizedToReleaseProxyGrantingTicket" : false
  },
  "accessStrategy" : {
    "@class" : "org.jasig.cas.services.DefaultRegisteredServiceAccessStrategy",
    "enabled" : true,
    "ssoEnabled" : true
  }
}

4.搭建过程遇到的第二个问题
按照第二步修改完后，启动项目，输入

登录页面会有如下警告
You are currently accessing CAS over a non-secure connection.  Single Sign On WILL NOT WORK.  In order to have single sign on work, you MUST log in over HTTPS.

解决办法，重写默认的登录页，将src/main/webapp/WEB-INF/view/jsp/default/ui/casLoginView.jsp拷贝到自己工程同样目录下，删除jsp中的如下片段

  
  

    
Non-secure Connection
    
You are currently accessing CAS over a non-secure connection.  Single Sign On WILL NOT WORK.  In order to have single sign on work, you MUST log in over HTTPS.
  

5.项目pom文件

	4.0.0

	falcon.chengf
	security-samples-javaconfig-cas-server
	0.0.1-SNAPSHOT
	war

	security-samples-javaconfig-cas-server
	http://maven.apache.org

	
		UTF-8
		4.2.7
	

	
		
		
		
			org.jasig.cas
			cas-server-webapp
			4.2.7
			war
			runtime
		

		
		
			org.slf4j
			slf4j-api
			1.7.25
		

		
		
			com.fasterxml.jackson.core
			jackson-annotations
			2.9.4
		
		
			junit
			junit
			3.8.1
			test
		
	

	
		
			
				org.apache.maven.plugins
				maven-war-plugin
				
					false
					
						
							org.jasig.cas
							cas-server-webapp
						
					
				
			
		
	

6.启动服务发布到tomcat：




在浏览器中输入：http://localhost:8080/cas-server/login，我们就会进入到登录界面（cas-server要和tomcat中path一致）



7.启动后参照网上说法，输入用户名和密码相同的用户发现不能登录，调查发现
cas V4.2版本以后默认的AuthenticationHandler是AcceptUsersAuthenticationHandler，验证不再是密码和用户名相同，而是用配置的用户名和密码

	@Value("${accept.authn.users:}")
    private String acceptedUsers;

   
  具体的配置信息在 /src/main/webapp/WEB-INF/cas.properties里面
accept.authn.users=casuser::Mellon
所以输入用户名：casuser，秘密Mellon，点解login，后进入登录成功页面



下载源码

• 
• 大小: 65.8 KB

• 
• 大小: 58.4 KB

• 
• 大小: 113.8 KB

• 
• 大小: 88 KB

• 查看图片附件