CAS ( CentralAuthentication Service ) 是 Yale 大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(属于 WebSSO )。
从结构体系看, CAS 包括两部分: CAS Server 和 CAS Client 。
CAS Server 负责完成对用户的认证工作 , 需要独立部署 , CAS Server 会处理用户名 / 密码等凭证(Credentials) 。
CASClient负责处理对客户端受保护资源的访问请求,需要对请求方进行身份认证时,重定向到 CAS Server 进行认证。(原则上,客户端应用不再接受任何的用户名密码等 Credentials )。CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。
基础模式 SSO 访问流程主要有以下步骤:
(1)访问服务: SSO 客户端发送请求访问应用系统提供的服务资源。
(2)定向认证: SSO 客户端会重定向用户请求到 SSO 服务器。
(3)用户认证:用户身份认证。
(4)发放票据: SSO 服务器会产生一个随机的 Service Ticket 。
(5)验证票据: SSO 服务器验证票据 Service Ticket 的合法性,验证通过后,允许客户端访问服务。
(6)传输用户信息: SSO 服务器验证票据通过后,传输用户认证结果信息给客户端。
为了方便我就在一台电脑上进行演示了。可以把Server和Client放在不同的电脑上进行演示。
(1)下载:
CAS-Server:http://www.jasig.org/cas/download
CAS-Client:http://downloads.jasig.org/cas-clients/
(2)准备三个Tomcat。
把Server端和Client端放在不同的Tomcat中。分别为Tomcat-cas,Tomcat-client1和Tomcat-client2。因为用了三个Tomcat需要都启动起来,所以需要先修改一下Tomcat的端口号以防冲突。
(1)把Server包中的cas-server-webapp部署到tomcat下。
(2)更改协议
CAS默认使用的是HTTPS协议,如果使用HTTPS协议需要进行证书的生成等一系列操作。我们项目中使用的是http协议,所以就不用进行这些证书的验证。
但是需要修改配置文件,让它可以使用http协议进行访问。
修改cas-server-webapp/WEB-INF中deployerConfigContext.xml文件。
增加参数p:requireSecure="false"。
<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" p:requireSecure="false"/>
修改cas-server-webapp/WEB-INF/spring-configuration中的ticketGrantingTicketCookieGenerator.xml
P:cookieSecure 属性 修改为 false。
<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="false" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" />
(3)启动tomcat-cas,测试服务的端是否可以正常使用。在浏览器中输入:http://localhost:8080/cas/login
可以正常使用。
(1)准备好一个项目做客户端的演示,部署到Tomcat-client1中。(刚开始我随便建立一个项目,直接用index.jsp做测试没有成功,后来才知道原来只有受保护的资源访问的时候才能跳转到登陆页。)
(2)从cas-client-3.2.0-release.zip中找到cas-client-core-3.2.1.jar,commons-logging-1.1.jar放到Tomcat-client1/webapps/cas_test/WEB-INF/lib中。
(3)在Tomcat-client1/webapps/cas_test/WEB-INF/web.xml中增加如下内容。
========================单点登录开始 ========================--> <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class> </listener> <!--该过滤器用于实现单点登出功能,可选配置。--> <filter> <filter-name>CASSingle Sign OutFilter</filter-name> <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> </filter> <filter-mapping> <filter-name>CASSingle Sign Out Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <filter> <filter-name>CASFilter</filter-name> <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class> <init-param> <param-name>casServerLoginUrl</param-name> <param-value>https://localhost:8080/cas/login</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>http://localhost:18080</param-value> </init-param> </filter> <filter-mapping> <filter-name>CASFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!--该过滤器负责对Ticket的校验工作,必须启用它--> <filter> <filter-name>CASValidationFilter</filter-name> <filter-class> org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class> <init-param> <param-name>casServerUrlPrefix</param-name> <param-value>https://localhost:8080/cas</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>http://localhost:18080</param-value> </init-param> </filter> <filter-mapping> <filter-name>CASValidationFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- <!-- ========================单点登录结束 ======================== -->
(4)把项目部署到Tomcat-client2上,同上操作。
(5)分别开启Tomcat-cas,Tomcat-client1和Tomcat-client2。
访问client1的时候跳转到登陆页面,然后进行登陆就会跳转到要访问的页面。然后紧接着访问client2,直接就会跳转到要访问的页面,不用进行登陆。
在浏览器中打开第一个clent1的项目,会出现以下界面:
然后打开client2项目,直接回出现下面界面。
说明测试成功。用户只需登录一次就可以访问所有相互信任的应用系统。