CAS实现单点登录(SSO)经典完整教程

  一、简介

                1、cas是有耶鲁大学研发的单点登录服务器

                 2、本教材所用环境

・         Tomcat7.2

・         JDK6

・         CAS Service 版本    cas-server-3.4.8-release

・         CAS Client版本      cas-client-3.2.1-release                                

    二、生成证书

                            证书对于实现此单点登录非常之重要,证书是服务器端和客户端安全通信的凭证,本教程只是演示,所有用了

                    JDK自带的证书生成工具keytool。当然在实际项目中你可以到专门的证书认证中心购买证书。

                            中文官方网站:http://www.verisign.com/cn/

                   1、用JDK自带的keytool生成证书

                            

view plain

1.  命令:keytool -genkey -alias  smalllove -keyalg RSA -keystore D:/keys/smallkey  

                   此命令是生成一个证书,其中 smalllove 是证书别名

     此命令的执行如图所示:

                     wKioL1OFMsHDGYXnAAIqVDyuymA029.jpg

                      其中名字与姓氏这一最好写你的域名,如果在单击测试你可以在C:\Windows\System32\drivers\etc\hosts文件中映射一个虚拟域名,

              注意不要写IP。

           2、导出证书

                

view plain

1.  命令:C:\>keytool -export -file d:/keys/small.crt -alias smalllove -keystore d:/keys/smallkey  

                如图:

                      wKiom1OFMvqj2sU7AACXhDE94yc147.jpg

               密码为上步设置的密码。

           3、把证书导入到客户端JDK中。

                

view plain

1.  命令:keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove  

           此命令是把证书导入到JDK中。

           如图:

            wKioL1OFMtig4w23AAHAl0bGVa4211.jpg

          到此证书导入成功。

           注意:在此步有可能出现如下错误

     

view plain

1.  C:\>keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove  

2.     输入keystore密码:  

3.   keytool错误: java.io.IOException: Keystore was tampered with, or password was incorrect  

                     次错误的解决方法是,把%JAVA_HOME%\lib\security下的cacerts文件删除掉,在执行。

                 

    三、配置服务端

                      1、下载CAS的服务端,解压,把解压后的文件中modules文件夹中的cas-server-webapp-3.4.8.war文件拷贝的%TOMCAT_HOME%\webapps

               下,并修改文件名为:cas.war。

                      2、修改%TOMCAT_HOME%\conf\server.xml文件

                               去掉此文件83到93行之间的注释,修改为:

                       

view plain

1.  <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  

2.                 maxThreads="150" scheme="https" secure="true"  

3.                 clientAuth="false" sslProtocol="TLS"   

4.                 keystoreFile="D:/keys/smallkey"  <!--在2.1中生成的证书的位置-->  

5.                 keystorePass="smalllove"/>       <!--在2.1中设置的密码-->  

                     3、以上配置完成访问http://yourhost:8443/cas出现一下页面

                                   wKiom1OFMxbB2reJAAKGxsKmNKU111.jpg

                          点击继续浏览会出现

                                         wKiom1OFMyXBlagrAAJVsVJbaiU803.jpg

                         输入用户名admin和密码admin登录则会出现

                                      wKioL1OFMwbixA0CAAFszBPOQvs806.jpg

                         登录成功。

                         至此,说明服务端配置成功。

   四、配置客户端

                   1、添加客户端到你的项目中

                          ・手动下载下载cas-client,地址:http://www.ja-sig.org/downloads/cas-clients/,然后解压cas-client-3.1.12.zip,在modules文件夹中有需要的jar包,                         请根据自己的项目情况选择使用,把相应的jar包放到你项目WEB-INF/lib下。

                   ・使用maven

                              

view plain

1.  <!-- cas -->  

2.  <dependency>  

3.      <groupId>org.jasig.cas.client</groupId>  

4.      <artifactId>cas-client-core</artifactId>  

5.      <version>3.1.12</version>  

6.  </dependency>  

                2、在客户端项目的web.xml配置过滤器

                        

view plain

1.  <!-- ======================== 单点登录开始 ======================== -->  

2.      <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->  

3.      <listener>  

4.          <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  

5.      </listener>  

6.    

7.      <!-- 该过滤器用于实现单点登出功能,可选配置。 -->  

8.      <filter>  

9.          <filter-name>CAS Single Sign Out Filter</filter-name>  

10.        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  

11.    </filter>  

12.    <filter-mapping>  

13.        <filter-name>CAS Single Sign Out Filter</filter-name>  

14.        <url-pattern>/*</url-pattern>  

15.    </filter-mapping>  

16.  

17.    <!-- 该过滤器负责用户的认证工作,必须启用它 -->  

18.    <filter>  

19.        <filter-name>CASFilter</filter-name>  

20.        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  

21.        <init-param>  

22.            <param-name>casServerLoginUrl</param-name>  

23.            <param-value>https://www.travel.com:8443/cas/login</param-value>  

24.            <!--这里的server是服务端的IP -->  

25.        </init-param>  

26.        <init-param>  

27.            <param-name>serverName</param-name>  

28.            <param-value>http://www.travel.com:8080</param-value><span style="color:#FF0000;"> ①</span>  

29.        </init-param>  

30.    </filter>  

31.    <filter-mapping>  

32.        <filter-name>CASFilter</filter-name>  

33.        <url-pattern>/*</url-pattern>  

34.    </filter-mapping>  

35.  

36.    <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->  

37.    <filter>  

38.        <filter-name>CAS Validation Filter</filter-name>  

39.        <filter-class>  

40.            org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  

41.        <init-param>  

42.            <param-name>casServerUrlPrefix</param-name>  

43.            <param-value>https://www.travel.com:8443/cas</param-value>  

44.        </init-param>  

45.        <init-param>  

46.            <param-name>serverName</param-name>  

47.            <param-value>http://www.travel.com:8080</param-value>  <span style="color:#FF0000;">②</span>  

48.        </init-param>  

49.    </filter>  

50.    <filter-mapping>  

51.        <filter-name>CAS Validation Filter</filter-name>  

52.        <url-pattern>/*</url-pattern>  

53.    </filter-mapping>  

54.  

55.    <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->  

56.    <filter>  

57.        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  

58.        <filter-class>  

59.            org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  

60.    </filter>  

61.    <filter-mapping>  

62.        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  

63.        <url-pattern>/*</url-pattern>  

64.    </filter-mapping>  

65.  

66.    <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->  

67.    <filter>  

68.        <filter-name>CAS Assertion Thread Local Filter</filter-name>  

69.        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  

70.    </filter>  

71.    <filter-mapping>  

72.        <filter-name>CAS Assertion Thread Local Filter</filter-name>  

73.        <url-pattern>/*</url-pattern>  

74.    </filter-mapping>  

75.  

76.    <!-- ======================== 单点登录结束 ======================== -->  

             

   五、常见问题说明

                  错误一、

                           wKiom1OFM0TgSm_RAAPT8CuomG4283.jpg

         若出现以上错原因是:你在客户端的web.xml中①,②的配置有误。

             错误二、

                         

view plain

1.  javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:   

2.  PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:   

3.  unable to find valid certification path to requested target  

                  若出现次错误是有与你客户端的证书有问题。重新导入你证书。

 

你可能感兴趣的:(SSO,cas)