JAVA CAS单点登录之三：CAS代理模式演练

前言

 JAVA CAS单点登录之一：搭建CAS服务器    

JAVA CAS单点登录之二：CAS普通模式1演练    

代理模式相相对上一节的普通模式，更加复杂了。但配置起来也会稍微有些差别。所谓难者不会，会者不难。如果遇到一个从来没有遇到的问题，解决起来也是非常棘手的，当然解决之后就不是事了。我就遇到了一个CAS 坑爹的错误。一步步按照别人的博客坐下来，普通模式部署没有多大问题，就是不知道为什么代理模式总是出错，搜遍了整个网络，也没找到问题所在，我就纳闷了，为什么就没有人 遇到过呢。还好，最后我使用了杀手锏，部署源码一步步跟踪找到了问题所在。

主要内容

搭建一整套环境.包括(cas-server ，cas proxy client，cas back-end app client)

一共三个Web应用。

具体参数  

涉及的所有参数都在我的实体机（WIN7)完成的。分别按照了3个TOMCAT服务端。

• Tomcat6.0.36

• JDK7

• CAS Server版本：cas-server-3.5.3

• CAS Client版本：cas-client-3.1.1

Cas Server	8888,443	配置见 JAVA CAS单点登录之一
Cas Proxy Client	8080	改造JAVA CAS单点登录之二的mywebapp1,改名为proxyClient
Cas Back-end Service Client	8070	改造JAVA CAS单点登录之二的 mywebapp2

域名映射(C:\Windows\System32\drivers\etc\hosts)

1 2	127.0.0.1 hellocas1.com 127.0.0.1 hellocas2.com

主机名

zhaoguoyu-pc

操作步骤

1. 修改cas Server端支持代理功能。
   

   就是这一步在其他文章中根本没有提到，我不知道是版本问题，还是什么问题。如果不配置，访问后台应用时会报 service.not.authorized.proxy异常。

1.1 修改 deployerConfigContext.xml文件支持代理

        就是添加 这个属性标签，

我就是坑在这里了，坑了近3个晚上。，苦逼啊。现在回想起来真的太傻了。如果没这个插曲，我想CAS我可能又走马观花研究一两个晚上而已，正是这个插曲，燃起了我的斗志，所以也干脆写一个系列吧。

1.2 为了演练方便，修改 deployerConfigContext.xml文件，不需要安全请求。

就是添加这个属性

p:requireSecure="false"

通过上面2步的配置，CAS服务增加了代理，同时也支持普通连接访问了。

2.配置代理服务

在上一节的基础上，改造原来的web.xml，作为代理使用。

  mywebapp

  
  

  
    CAS Authentication Filter
    org.jasig.cas.client.authentication.AuthenticationFilter
    
      casServerLoginUrl
      https://zhaoguoyu-pc/cas/login
    
    
      serverName
      http://zhaoguoyu-pc:8080
    
    
      renew
      false
    
    
      gateway
      false
    
  

  
    CAS Validation Filter
    org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
    
      casServerUrlPrefix
      https://zhaoguoyu-pc/cas/
    
    
      serverName
      http://zhaoguoyu-pc:8080
    

    
        proxyCallbackUrl
        http://zhaoguoyu-pc:8080/mywebapp/proxyCallback
    
    
        proxyReceptorUrl
        /proxyCallback
    

  

  
    CAS HttpServletRequest Wrapper Filter
    org.jasig.cas.client.util.HttpServletRequestWrapperFilter
  

  
    CAS Assertion Thread Local Filter
    org.jasig.cas.client.util.AssertionThreadLocalFilter
  

  

  
  
  
    CAS Validation Filter
    /proxyCallback
  

  
    CAS Authentication Filter
    /protected/*
  

  
    CAS Validation Filter
    /*
  

  
    CAS HttpServletRequest Wrapper Filter
    /*
  

  
    CAS Assertion Thread Local Filter
    /*
  



  

  
  

  

  
    index.jsp
  

修改的内容如下

1.为Cas20ProxyReceivingTicketValidationFilter增加2个配置元素

   
        proxyCallbackUrl
        http://zhaoguoyu-pc:8080/proxyClient/proxyCallback
   
   
        proxyReceptorUrl
        /proxyCallback
   

2.增加映射URL(注意顺序），一定要在其他filter的前面

  
    CAS Validation Filter
    /proxyCallback
  

到这儿，可以作为一个普通服务可以作为代理使用了。

3.复制改名另外一个普通应用，作为后台应用(back-end service)

修改web.xml

   

 
        CAS Validation Filter
        org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
        
            casServerUrlPrefix
            https://zhaoguoyu-pc/cas/
        
        
            serverName
            http://hellocas2.com:8070
        
        
            acceptAnyProxy
            true
            
     
        redirectAfterValidation
        false
        
    

添加了acceptAnyProxy 和redirectAfterValidation参数。支持接收代理

4.在proxy 应用下添加测试的Servlet

ProxyTestServlet HttpServlet {
    doPost(HttpServletRequest request, HttpServletResponse response) ServletException, IOException {
        String serviceUrl = "http://hellocas2.com:8070/mywebapp2/protected/";
        Assertion assertion = AssertionHolder.();
        String proxyTicket = assertion.getPrincipal().getProxyTicketFor(serviceUrl);
        URL url = URL(serviceUrl + + proxyTicket);
        HttpURLConnection conn = ;
        {
            conn = (HttpURLConnection) url.openConnection();
            responseCode = conn.getResponseCode();
            String responseMessage = conn.getResponseMessage();
            System..println(+responseCode);
            System..println();
            System..println();
            System..println(responseMessage);
        } (Exception ex) {
            ex.printStackTrace();
        } {
            (conn != ) {
                conn.disconnect();
            }
        }
    }

    doGet(HttpServletRequest request, HttpServletResponse response) ServletException, IOException {
        doPost(request, response);
    }
}

5.测试验证

前提：分别启动CAS-server,Cas-proxy,Cas-backend client

5.1 输入地址，http://zhaoguoyu-pc:8080/proxyClient。

5.2 输入用户名和密码

5.3 访问servlet

http://zhaoguoyu-pc:8080/proxyClient/proxyTestServlet

经过确认，反悔代码为200，和OK。表示测试通过。

如果想详细链接关于代理模式的原理，请参考

http://my.oschina.net/ichatter/blog/129642

http://blog.csdn.net/emon123/article/details/6285549

http://www.blogjava.net/security/archive/2006/04/26/SSO_CASProxy.html

http://www.myexception.cn/software-architecture-design/644728.html

http://init-life.com/web/2014/11/12/cas-workflows/

http://www.mytju.com/classcode/news_readNews.asp?newsID=503

https://wiki.jasig.org/display/CASC/CAS+Client+for+Java+3.1。

部署期间，我遇到这个坑爹的异常

    

        service.not.authorized.proxy

    

This is because proxy authn is turned off by default. Set the proxy flag in 
your service registry and off it goes.

感觉哪儿少配了个参数，硬是搜遍了大量博客，竟然没找到。最后自己看源码，一步步跟踪出来的。