CAS在Tomcat实现SSO

本文以tomcat6.0为例

准备工作：下载cas-server-3.1.1-release.zip和cas-client-java-2.1.1.zip。

1、CAS Server

 

CAS Server 是一套基于 Java 实现的服务，该服务以一个 Java Web Application 单独部署在与 servlet2.3 兼容的 Web 服务器上，另外，由于 Client 与 CAS Server 之间的交互采用 Https 协议，因此部署 CAS Server 的服务器还需要支持 SSL 协议。当 SSL 配置成功过后，像普通 Web 应用一样将 CAS Server 部署在服务器上就能正常运行了，不过，在真正使用之前，还需要扩展验证用户的接口。

 

2、配置 Tomcat 使用 Https 协议

 

    1)、生成key，在命令行中输入：keytool -genkey -alias mykey -keyalg RSA -keystore c:/tomcat.key

            产生别名为mykey的证书放到c:/tomcat.key。

           注意：您的名字与姓氏是什么？

           [Unknown]：  主机名或者IP最好是做了host映射的主机名，测试的时候最好写成localhost，不然通过 localhost访问会报错。

    2)、在tomcat的server.xml文件里加入，指定key文件地址。         

 

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="C:/tomcat.key"
  />

   3)、重启tomcat，就可以通过https://localhost:8443访问了。

 

3、搭建CAS服务端

    1)、将下载的cas-server-3.1.1-release.zip解压
    2)、将解压包内的modules文件夹下的cas-server-webapp.war 拷贝到 tomcat的 webapps 目录，并更名为 cas.war

可以重新启动 tomcat，然后访问：https://localhost:8443/cas ，如果能出现正常的 CAS 登录页面，则说明 CAS Server 已经部署成功。

4、扩展认证接口

    CAS Server通过spring进行的配置

    1)、配置查询用户数据源，打开文件 %CATALINA_HOME%/webapps/cas/WEB-INF/deployerConfigContext.xml，添加一个新的 bean 标签，以mysql为例。

           拷贝mysql jdbc jar到cas webapp 下。

        

    <bean id="casDataSource" class="org.apache.commons.dbcp.BasicDataSource">
    	<property name="driverClassName">
      	<value>com.mysql.jdbc.Driver</value>
     	</property>
     	<property name="url">
     		<value>jdbc:mysql://localhost:3306/mydb?characterEncoding=utf-8</value>
     	</property>
     	<property name="username">
      	<value>root</value>
     	</property>
     	<property name="password">
      	<value>admin</value>
     	</property>
	</bean>

   2)、配置查询sql

       

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
 			<property name="dataSource" ref="casDataSource" />
 			<property name="sql" 
       value="select password from user where lower(username) = lower(?)" />
       <property name="passwordEncoder" ref="myPasswordEncoder"/>
		</bean>
		
 		<bean id="SearchModeSearchDatabaseAuthenticationHandler"
      class="org.jasig.cas.adaptors.jdbc.SearchModeSearchDatabaseAuthenticationHandler"
      abstract="false" scope="singleton" lazy-init="default" 
                       autowire="default">
  		<property  name="tableUsers">
   			<value>user</value>
  		</property>
  		<property name="fieldUser">
   			<value>username</value>
  		</property>
  		<property name="fieldPassword">
   			<value>password</value>
  		</property>
  		<property name="dataSource" ref="casDataSource"/>
		</bean>

  3)、配置密码加密策略，这个类需要自己实现。

  

<bean id="myPasswordEncoder" 
            class="org.jasig.cas.util.MyPasswordEncoder"/>

    比如md5。

public class MyPasswordEncoder implements PasswordEncoder {

	public String encode(String arg0) {
		// TODO Auto-generated method stub
		byte[] salt = PasswordUtil.getStaticSalt();
		String ciphertext = PasswordUtil.encrypt("admin", arg0, salt);
		return ciphertext;
	}

}

 

5、搭建CAS客户端

  1)、配置客户端服务器的HTTPS协议方法同服务端。
  2)、cas-client-java-2.1.1.zip解压并将casclient.jar拷贝到你的项目的lib目录下，/cas-client-java-2.1.1/lib下的所有包copy到WEB-INF/lib目录下。

  3)、交换秘钥，

         根据秘钥生成证书 keytool -export -file client.cert -alias mykey -keystore c:/tomcat.key。

        将证书导入到客户端keytool -import -trustcacerts -file client.cert -keypass changeit -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -alias mykey。

 

6、配置应用的filter

  新建两个webapp，作为单点登录的web应用，webcas1,webcas2，在各自的web.xml下加入filter，设置filter拦截请求到CAS服务器验证登录信息。

 

<filter>
    <filter-name>CAS Filter</filter-name>
    <filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
    <init-param>
      <param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
      <param-value>https://casserver:8443/cas/login</param-value>
    </init-param>
    <init-param>
      <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
      <param-value>https://localhost:8443/cas/serviceValidate</param-value>
    </init-param>
    <init-param>
      <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
      <param-value>domain1:8081</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>CAS Filter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

 

<filter>
    <filter-name>CAS Filter</filter-name>
    <filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
    <init-param>
      <param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
      <param-value>https://casserver:8443/cas/login</param-value>
    </init-param>
    <init-param>
      <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
      <param-value>https://localhost:8443/cas/serviceValidate</param-value>
    </init-param>
    <init-param>
      <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
      <param-value>domain2:8081</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>CAS Filter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

 

// 以下两者都可以获取用户登录信息
session.getAttribute(CASFilter.CAS_FILTER_USER);
session.getAttribute("edu.yale.its.tp.cas.client.filter.user");

 

7、测试SSO

当访问 http://domain1:8080/webcas1的时候，服务器判断没有登录，会跳转到 https://localhost:8443/cas/login，进行登录。

再次访问 http://domain2:8080/webcas2的时候，就不用登陆了，可以根据session.getAttribute("edu.yale.its.tp.cas.client.filter.user");
获取登录信息。

8、扩展CAS SERVER页面

我们想自己定义登陆界面和错误提示界面。

在部署 CAS 之前，我们可能需要定制一套新的 CAS Server 页面，添加一些个性化的内容。最简单的方法就是拷贝一份 default 或 simple 文件到“ cas/WEB-INF/view/jsp ”目录下，比如命名为 newUI，接下来是实现和修改必要的页面，有 4 个页面是必须的：

casConfirmView.jsp: 当用户选择了“ warn ”时会看到的确认界面
casGenericSuccess.jsp: 在用户成功通过认证而没有目的Service时会看到的界面
casLoginView.jsp: 当需要用户提供认证信息时会出现的界面
casLogoutView.jsp: 当用户结束 CAS 单点登录系统会话时出现的界面
CAS 的页面采用 Spring 框架编写，对于不熟悉 Spring 的使用者，在修改之前需要熟悉该框架。

页面定制完过后，还需要做一些配置从而让 CAS 找到新的页面，拷贝“ cas/WEB-INF/classes/default_views.properties ”，重命名为“ cas/WEB-INF/classes/ newUI_views.properties ”，并修改其中所有的值到相应新页面。最后是更新“ cas/WEB-INF/cas-servlet.xml ”文件中的 viewResolver。