单点登录cas jasig学习笔记

1 什么是单点登录
  单点登录(Single Sign On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
  CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架

    CAS 介绍
   CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点:
    •开源的企业级单点登录解决方案。
    •CAS Server 为需要独立部署的 Web 应用。
    •CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
    CAS 原理和协议
      从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,
      需要登录时,重定向到 CAS Server
2 使用cas   jasig
    1 下载服务端与客户端
       服务端 http://downloads.jasig.org/cas/
   客户端 http://downloads.jasig.org/cas-clients/
    2 服务端安装
        我使用 cas-server-3.5.2-release版本  解压后在 modules目录下有一个cas-server-webapp-3.5.2.war包(我改为cas.war包),部署到服务器即可启动服务端  访问应用会进入登录界面,
    cas默认只要用户名与密码相同就通过验证
    3 客户端安装
         1 编写一个web应用,客户端web应用需要到以下jar
        我使用 cas-client-3.2.1-release版本  解压后在 modules目录下选择需要的jar包拷贝至你的web应用程序,我需要以下jar包
            cas-client-core-3.2.1.jar
            commons-codec-1.4.jar
            commons-logging-1.1.jar
            ehcache-core-2.2.0.jar
            juli-6.0.29.jar
            slf4j-api-1.5.11.jar
            xmlsec-1.3.0.jar
          2 web.xml中配置过滤器  以下配置是假设你的服务端应用上下文为cas

           <!-- 用于单点退出,该过滤器用于实现单点登出功能,通知其他应用单点登出 -->

           <listener>
               <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
           </listener>

           <!-- 该过滤器用于实现单点登出功能,可选配置。 -->

           <filter>
               <filter-name>CAS Single Sign Out Filter</filter-name>
               <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
           </filter>
           <filter-mapping>
               <filter-name>CAS Single Sign Out Filter</filter-name>
               <url-pattern>/*</url-pattern>
           </filter-mapping>


           <!-- 该过滤器负责用户的认证工作,必须启用它 -->
           <filter>
               <filter-name>CASFilter</filter-name>
               <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
               <init-param>
                   <param-name>casServerLoginUrl</param-name>
                   <param-value>http://localhost:8080/cas/login</param-value>
                   <!--这里的server是服务端的IP -->
               </init-param>
               <init-param>
                   <param-name>serverName</param-name>
                   <param-value>http://localhost:8080</param-value>
               </init-param>
           </filter>
           <filter-mapping>
               <filter-name>CASFilter</filter-name>
               <url-pattern>/*</url-pattern>
           </filter-mapping>

           <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
           <filter>
               <filter-name>CAS Validation Filter</filter-name>
               <filter-class>
                   org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
               </filter-class>
               <init-param>
                   <param-name>casServerUrlPrefix</param-name>
                   <param-value>http://localhost:8080/cas</param-value>
               </init-param>
               <init-param>
                   <param-name>serverName</param-name>
                   <param-value>http://localhost:8080</param-value>
               </init-param>
           </filter>
           <filter-mapping>
               <filter-name>CAS Validation Filter</filter-name>
               <url-pattern>/*</url-pattern>
           </filter-mapping>



          3 访问客户端应用,会进入cas的统一登录界面,因为我们在web.xml中配置了过滤器以及访问地址
      4  如果我们不使用https访问,想实现单点登录,则需要修改两处
         1 修改服务端下的 cas/WEB-INF/deployerConfigContext.xml
       <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>
           增加参数p:requireSecure="false",是否需要安全验证,即HTTPS,false为不采用,加上去之后如下:
       <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" p:requireSecure="false"/>
             2、cas/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml
           <bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
           p:cookieSecure="true"
           p:cookieMaxAge="-1"
           p:cookieName="CASTGC"
           p:cookiePath="/cas" />
                参数p:cookieSecure="true",同理为HTTPS验证相关,TRUE为采用HTTPS验证,FALSE为不采用https验证。
                参数 p:cookieMaxAge="-1",简单说是COOKIE的最大生命周期,-1为无生命周期,即只在当前打开的IE窗口有效,IE关闭或重新打开其 它窗口,仍会要求验证。
        可以根据需要修改为大于0的数字,比如3600等,意思是在3600秒内,打开任意IE窗口,都不需要验证。
        3 编写第2个web应用,配置第一个web应用一样,我们可以测试在第一个应用登陆后,再访问第2个应用已经不需要登录,实现了单点登录功能

3 单点登出
   <a href="http://localhost:8080/cas/logout?service=http://localhost:8080/Casclient/index.jsp">退出</a><br/>
4 获取登陆用户的信息 配置HttpServletRequestWrapperFilter过滤器
      <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
           <filter>
               <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
               <filter-class>
                   org.jasig.cas.client.util.HttpServletRequestWrapperFilter
               </filter-class>
           </filter>
           <filter-mapping>
               <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
               <url-pattern>/*</url-pattern>
           </filter-mapping>

           <filter>
               <filter-name>CAS Assertion Thread Local Filter</filter-name>
               <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
           </filter>
           <filter-mapping>
               <filter-name>CAS Assertion Thread Local Filter</filter-name>
               <url-pattern>/*</url-pattern>
           </filter-mapping>

       之后使用request.getRemoteUser()
5 改变默认的cas服务端
   1 使用数据库登录
       1 需要cas-server-support-jdbc-3.5.2.jar,该包在服务端解压后在 modules目录下,拷贝到服务端的web应用
       2 修改服务端应用中的WEB-INF下的deployerConfigContext.xml
      cas服务默认用户名与密码相同即可通过验证,是因为给org.jasig.cas.authentication.AuthenticationManagerImpl的属性authenticationHandlers注入org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler
      把该注入去掉,换成注入org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler,该类在cas-server-support-jdbc-3.5.2.jar包中,如下
             <bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
                       <property name="dataSource" ref="dataSource" />
                       <property name="sql"
                       value="select password from userinfo where username = ?" /> <!--确保自己数据库中有userinfo表,以及表字段username,password-->
                       <!--<property name="passwordEncoder" ref="passwordEncoder"/>-->  <!--如果不注入,则明码验证-->
                   </bean>

           上面的dataSource配置成自己的数据源,如
         <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
         <property name="driverClassName" value="com.mysql.jdbc.Driver"></property>
         <property name="url" value="jdbc:mysql://localhost:3306/xxx?useUnicode=true&amp;characterEncoding=UTF-8"></property>
         <property name="username" value="root"></property>
         <property name="password" value="123456"></property>
              </bean>
          对于passwordEncoder,如果不注入,则明码验证,以下是注入的一个例子,直接使用cas提供的DefaultPasswordEncode,可自己实现PasswordEncoder接口编写加密方法
          <bean id="passwordEncoder"
           class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire="byName">
           <constructor-arg value="MD5"/>
        </bean>

         在代码中使用DefaultPasswordEncoder。如字符串"aaa"经MD5加密
           DefaultPasswordEncoder encoder=new DefaultPasswordEncoder("MD5");
       System.out.println(encoder.encode("aaa"));
             控制台输出 47bce5c74f589f4867dbd57e9ca9f808




       3   修改默认的页面
         1 cas默认的页面在cas\WEB-INF\view\jsp\default\ui 下
          例如:
       登录界面:casLoginView.jsp
       登录成功:casGenericSuccess.jsp
       登出界面:casLogoutView.jsp
          2 CAS 的页面采用 Spring 框架编写,在cas/WEB-INF/classes/default_views.properties 可以找到对应的视图解析,可以修改cas/WEB-INF/cas-servlet.xml ”文件中的 viewResolver,
            举个例子
              <bean id="viewResolver"      class="org.springframework.web.servlet.view.ResourceBundleViewResolver" p:order="0">  
                  <property name="basenames">        
                    <list>          
                     <value>${cas.viewResolver.basename}</value>          
                     <value>properties基础名</value>      
                     </list>    
                  </property>
              </bean>
6 在tomcat中 使用https  需要生成证书
     1 使用jdk的keytool命令生成证书
       1 首先要进入“C:/Program Files/Java/jdk1.6.0_02/jre/lib/security”;其中C:/Program Files/Java/jdk1.6.0_02为jdk的安装路径;
         keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=localhost" -keystore server.keystore -storepass changeit  
         其中cn=localhost cn不能使用ip ,cas建议使用域名
       2 导出证书到证书文件server.cer
         keytool -export -alias tomcatsso -file server.cer -keystore server.keystore -storepass changeit
           3 导入证书到jdk
               keytool -import -alias tomcatsso -file server.cer -keystore cacerts -storepass changeit
      2 打开%CATALINA_HOME%/conf/server.xml,找到如下内容:
           <!--
           <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                  maxThreads="150" scheme="https" secure="true"
                  clientAuth="false" sslProtocol="TLS" />
           -->

      将其换成如下内容

           <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
                  maxThreads="150" scheme="https" secure="true"
                  clientAuth="false" sslProtocol="TLS"
             keystorePass="changeit" keystoreFile="C:/Program Files/Java/jdk1.6.0_02/jre/lib/security/server.keystore"/>



        问题 若输入错误,想重新生成证书,可先用以下两句话将已安装的证书去除
           keytool -delete -alias tomcatsso -keystore cacerts
           keytool -delete -alias tomcatsso -keystore server.keystore
       3 恢复前面在cas服务端去掉https而修改的两处,cas就可以使用https了

你可能感兴趣的:(cas,单点登录,jasig)