1 什么是单点登录
单点登录(Single Sign On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架
CAS 介绍
CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点:
•开源的企业级单点登录解决方案。
•CAS Server 为需要独立部署的 Web 应用。
•CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
CAS 原理和协议
从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,
需要登录时,重定向到 CAS Server
2 使用cas jasig
1 下载服务端与客户端
服务端 http://downloads.jasig.org/cas/
客户端 http://downloads.jasig.org/cas-clients/
2 服务端安装
我使用 cas-server-3.5.2-release版本 解压后在 modules目录下有一个cas-server-webapp-3.5.2.war包(我改为cas.war包),部署到服务器即可启动服务端 访问应用会进入登录界面,
cas默认只要用户名与密码相同就通过验证
3 客户端安装
1 编写一个web应用,客户端web应用需要到以下jar
我使用 cas-client-3.2.1-release版本 解压后在 modules目录下选择需要的jar包拷贝至你的web应用程序,我需要以下jar包
cas-client-core-3.2.1.jar
commons-codec-1.4.jar
commons-logging-1.1.jar
ehcache-core-2.2.0.jar
juli-6.0.29.jar
slf4j-api-1.5.11.jar
xmlsec-1.3.0.jar
2 web.xml中配置过滤器 以下配置是假设你的服务端应用上下文为cas
<!-- 用于单点退出,该过滤器用于实现单点登出功能,通知其他应用单点登出 -->
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责用户的认证工作,必须启用它 -->
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>http://localhost:8080/cas/login</param-value>
<!--这里的server是服务端的IP -->
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:8080/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3 访问客户端应用,会进入cas的统一登录界面,因为我们在web.xml中配置了过滤器以及访问地址
4 如果我们不使用https访问,想实现单点登录,则需要修改两处
1 修改服务端下的 cas/WEB-INF/deployerConfigContext.xml
<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>
增加参数p:requireSecure="false",是否需要安全验证,即HTTPS,false为不采用,加上去之后如下:
<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" p:requireSecure="false"/>
2、cas/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml
<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
p:cookieSecure="true"
p:cookieMaxAge="-1"
p:cookieName="CASTGC"
p:cookiePath="/cas" />
参数p:cookieSecure="true",同理为HTTPS验证相关,TRUE为采用HTTPS验证,FALSE为不采用https验证。
参数 p:cookieMaxAge="-1",简单说是COOKIE的最大生命周期,-1为无生命周期,即只在当前打开的IE窗口有效,IE关闭或重新打开其 它窗口,仍会要求验证。
可以根据需要修改为大于0的数字,比如3600等,意思是在3600秒内,打开任意IE窗口,都不需要验证。
3 编写第2个web应用,配置第一个web应用一样,我们可以测试在第一个应用登陆后,再访问第2个应用已经不需要登录,实现了单点登录功能
3 单点登出
<a href="http://localhost:8080/cas/logout?service=http://localhost:8080/Casclient/index.jsp">退出</a><br/>
4 获取登陆用户的信息 配置HttpServletRequestWrapperFilter过滤器
<!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter
</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
之后使用request.getRemoteUser()
5 改变默认的cas服务端
1 使用数据库登录
1 需要cas-server-support-jdbc-3.5.2.jar,该包在服务端解压后在 modules目录下,拷贝到服务端的web应用
2 修改服务端应用中的WEB-INF下的deployerConfigContext.xml
cas服务默认用户名与密码相同即可通过验证,是因为给org.jasig.cas.authentication.AuthenticationManagerImpl的属性authenticationHandlers注入org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler
把该注入去掉,换成注入org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler,该类在cas-server-support-jdbc-3.5.2.jar包中,如下
<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
<property name="dataSource" ref="dataSource" />
<property name="sql"
value="select password from userinfo where username = ?" /> <!--确保自己数据库中有userinfo表,以及表字段username,password-->
<!--<property name="passwordEncoder" ref="passwordEncoder"/>--> <!--如果不注入,则明码验证-->
</bean>
上面的dataSource配置成自己的数据源,如
<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName" value="com.mysql.jdbc.Driver"></property>
<property name="url" value="jdbc:mysql://localhost:3306/xxx?useUnicode=true&characterEncoding=UTF-8"></property>
<property name="username" value="root"></property>
<property name="password" value="123456"></property>
</bean>
对于passwordEncoder,如果不注入,则明码验证,以下是注入的一个例子,直接使用cas提供的DefaultPasswordEncode,可自己实现PasswordEncoder接口编写加密方法
<bean id="passwordEncoder"
class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire="byName">
<constructor-arg value="MD5"/>
</bean>
在代码中使用DefaultPasswordEncoder。如字符串"aaa"经MD5加密
DefaultPasswordEncoder encoder=new DefaultPasswordEncoder("MD5");
System.out.println(encoder.encode("aaa"));
控制台输出 47bce5c74f589f4867dbd57e9ca9f808
3 修改默认的页面
1 cas默认的页面在cas\WEB-INF\view\jsp\default\ui 下
例如:
登录界面:casLoginView.jsp
登录成功:casGenericSuccess.jsp
登出界面:casLogoutView.jsp
2 CAS 的页面采用 Spring 框架编写,在cas/WEB-INF/classes/default_views.properties 可以找到对应的视图解析,可以修改cas/WEB-INF/cas-servlet.xml ”文件中的 viewResolver,
举个例子
<bean id="viewResolver" class="org.springframework.web.servlet.view.ResourceBundleViewResolver" p:order="0">
<property name="basenames">
<list>
<value>${cas.viewResolver.basename}</value>
<value>properties基础名</value>
</list>
</property>
</bean>
6 在tomcat中 使用https 需要生成证书
1 使用jdk的keytool命令生成证书
1 首先要进入“C:/Program Files/Java/jdk1.6.0_02/jre/lib/security”;其中C:/Program Files/Java/jdk1.6.0_02为jdk的安装路径;
keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=localhost" -keystore server.keystore -storepass changeit
其中cn=localhost cn不能使用ip ,cas建议使用域名
2 导出证书到证书文件server.cer
keytool -export -alias tomcatsso -file server.cer -keystore server.keystore -storepass changeit
3 导入证书到jdk
keytool -import -alias tomcatsso -file server.cer -keystore cacerts -storepass changeit
2 打开%CATALINA_HOME%/conf/server.xml,找到如下内容:
<!--
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
-->
将其换成如下内容
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystorePass="changeit" keystoreFile="C:/Program Files/Java/jdk1.6.0_02/jre/lib/security/server.keystore"/>
问题 若输入错误,想重新生成证书,可先用以下两句话将已安装的证书去除
keytool -delete -alias tomcatsso -keystore cacerts
keytool -delete -alias tomcatsso -keystore server.keystore
3 恢复前面在cas服务端去掉https而修改的两处,cas就可以使用https了