单点登录（SSO）之CAS框架（总结）

什么是CAS

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。为了解决第一个问题，即实现各信息系统之间的全面整合，集团公司引进了企业信息门户(EIP)，即将各种应用系统(诸如ERP、BPM、HR、OA、企业邮局等)、数据资源和互联网资源统一集到企业信息门户之下,根据每个用户使用特点和角色的不同,形成个性化的应用界面，并通过对事件和消息的处理、传输把用户有机地联系在一起。

CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点：
【1】开源的企业级单点登录解决方案。
【2】CAS Server 为需要独立部署的 Web 应用—tomcat。
【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作（登录）；CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。
下图是 CAS 最基本的协议过程

SSO单点登录访问流程主要有以下步骤：

1. 访问服务：SSO客户端发送请求访问应用系统提供的服务资源。
2. 定向认证：SSO客户端会重定向用户请求到SSO服务器。
3. 用户认证：用户身份认证。
4. 发放票据：SSO服务器会产生一个随机的Service Ticket。
5. 验证票据：SSO服务器验证票据Service Ticket的合法性，验证通过后，允许客户端访问服务。
6. 传输用户信息：SSO服务器验证票据通过后，传输用户认证结果信息给客户端。

CAS服务端部署

部署CAS服务
Cas服务端其实就是一个war包。
将\CAS\目录下 cas.war放入tomcat目录下的webapps下。启动tomcat自动解压war包。浏览器输入http://localhost:8080/cas/login ，可看到登录页面

不要嫌弃这个页面丑，我们后期可以再提升它的颜值（通过配置更换成自己的登录页面）。暂时把注意力放在功能实现上。
这里有个固定的用户名和密码 casuser /Mellon
登录成功后会跳到登录成功的提示页面

服务端配置
端口修改
如果我们不希望用8080端口访问CAS, 可以修改端口
（1）修改TOMCAT的端口
打开tomcat 目录 conf\server.xml 找到下面的配置

将端口8080，改为自己的9100
（2）修改CAS配置文件
修改cas的WEB-INF/cas.properties

server.name=http://192.168.200.128:9100

（3）4.4.2去除https认证-
Https：http在ssl协议上进行传输。https：安全。
CAS默认使用的是HTTPS协议，如果使用HTTPS协议需要SSL安全证书（需向特定的机构申请和购买） 。如果对安全要求不高或是在开发测试阶段，可使用HTTP协议。我们这里讲解通过修改配置，让CAS使用HTTP协议。
1. 修改cas的WEB-INF/deployerConfigContext.xml

这里需要增加参数p:requireSecure=“false”，requireSecure属性意思为是否需要安全验证，即HTTPS，false为不采用
2、修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml

参数p:cookieSecure=“true”，同理为HTTPS验证相关，TRUE为采用HTTPS验证，FALSE为不采用https验证。
参数p:cookieMaxAge="-1"，是COOKIE的最大生命周期，-1为无生命周期，即只在当前打开的窗口有效，关闭或重新打开其它窗口，仍会要求验证。可以根据需要修改为大于0的数字，比如3600等，意思是在3600秒内，打开任意窗口，都不需要验证。
我们这里将cookieSecure改为false , cookieMaxAge 改为3600
3.修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml找到下面配置

我们这里将cookieSecure改为false , cookieMaxAge 改为3600

到此，个人的cas服务端配置完成。

CAS客户端入门程序

创建客户端1程序

（1）搭建Maven工程引入依赖
创建Maven工程 （war）casclient_demo1 引入cas客户端依赖并制定tomcat运行端口为9001

	
		  
		  
		    org.jasig.cas.client  
		    cas-client-core  
		    3.3.3  
		  		
		
			javax.servlet
			servlet-api
			2.5  
			provided
		
	  
    
	  
	        
	          org.apache.maven.plugins  
	          maven-compiler-plugin  
	          2.3.2  
	            
	              1.7  
	              1.7  
	            
	        
	      
				org.apache.tomcat.maven
				tomcat7-maven-plugin
				
					
					9001
					
					/
				
	  	  
	    
    `

（2）添加web.xml

	
      
      
     org.jasig.cas.client.session.SingleSignOutHttpSessionListener  
      
      
      
        CAS Single Sign Out Filter  
       org.jasig.cas.client.session.SingleSignOutFilter  
      
      
        CAS Single Sign Out Filter  
        /*  
      
      
      
        CASFilter      
         org.jasig.cas.client.authentication.AuthenticationFilter  
          
            casServerLoginUrl  
            http://192.168.200.128:9100/cas/login  
              
          
          
            serverName  
            http://localhost:9001
          
      
      
        CASFilter  
        /*  
      
      
      
        CAS Validation Filter  
             org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter  
          
            casServerUrlPrefix  
            http://192.168.200.128:9100/cas  
          
          
            serverName  
            http://localhost:9001
          
      
      
        CAS Validation Filter  
        /*  
      
      
      
        CAS HttpServletRequest Wrapper Filter  
          
            org.jasig.cas.client.util.HttpServletRequestWrapperFilter  
      
      
        CAS HttpServletRequest Wrapper Filter  
        /*  
      
      
      
        CAS Assertion Thread Local Filter       org.jasig.cas.client.util.AssertionThreadLocalFilter  
      
      
        CAS Assertion Thread Local Filter  
        /*  
      

（3）webapp目录下编写index.jsp

<%@ page language="java" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>







欢迎来到xxx商城
<%=request.getRemoteUser()%>

客户端工程2搭建
（1）创建Maven工程 （war）casclient_demo2 引入cas客户端依赖并制定tomcat运行端口为9002
（2）创建web.xml，参照casclient_demo1 ,将serverName的值改为http://localhost:9002，一共两处
（3）创建index.jsp ,内容显示“欢迎来到XXX商城”

单点登录测试

（1）启动cas部署的tomcat
（2）启动客户端工程1和客户端工程2
（3）地址栏输入http://localhost:9001/ 和http://localhost:9002/ ，地址均会跳转到CAS登录页
（4）输入用户名和密码后，页面跳转回9002 ，再次访问9001也可以打开主页面。

单点退出登录
地址栏输入 http://192.168.200.128:9100/cas/logout
即可看到退出后的提示页面；
我们可以将这个链接添加到index.jsp中

退出登录
但我们更希望退出登录后，能自动跳转到某个页面，那如何处理呢？

修改cas系统的配置文件WEB-INF目录下的cas-servlet.xml

改为true后，可以在退出时跳转页面到目标页面，修改index.jsp的退出链接

退出登录

CAS服务端数据源配置

我们现在让用户名密码从项目中的user表里做验证
配置数据源
修改配置文件
（1）修改cas服务端中web-inf下deployerConfigContext.xml ，新增如下配置

然后在配置文件开始部分找到如下配置

编写web.xml文件

	
			contextConfigLocation
			classpath:spring/spring-security.xml
	
	
		org.springframework.web.context.ContextLoaderListener
	

	
		springSecurityFilterChain
		org.springframework.web.filter.DelegatingFilterProxy
	
	
		springSecurityFilterChain
		/*
	

自定义认证类

public class UserDetailServiceImpl implements UserDetailsService {

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		Set authorities = new HashSet<>();
		// 添加访问权限
		SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority("ROLE_USER");
		authorities.add(grantedAuthority);
		//授权时不需要验证密码
		User user = new User(username, "", authorities);
		return user;
	}
}

Linux上部署cas服务需要注意的事项
需要注意的两点：
1、修改tomcat端口（防止端口冲突）；
2、修改链接数据库地址（连接宿主机与客户机通信地址，例如：192.168.130.78）；
在lunix上修改cas访问数据库的IP，与相连的机器的ip一致
命令模式查询本机ip地址ipconfig：192.168.130.78
修改cas服务端中web-inf下deployerConfigContext.xml

3.宿主机与客户机需要关闭防火墙
4.本地数据库MySQL的user表添加或者修改用户

修改完MySQL后，建议重启MySQL的服务。

转载须注明出处！！！