转自:http://blog.csdn.net/hejingyuan6/article/details/44921257
本文目的很明确,并不是要逐步讲清楚每一步的操作,具体的步骤网上有很多,那么整理本文的目的只是要梳理一下自己的知识点,帮助自己加深理解。
小知识点积累:
域名地址的修改:
根据演示需求,用修改hosts文件的方法添加域名最简单方便(这个非常重要),在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三条
127.0.0.1 demo.micmiu.com
127.0.0.1 app1.micmiu.com
127.0.0.1 app2.micmiu.com
•demo.micmiu.com =>> 对应部署cas server的tomcat,这个虚拟域名还用于证书生成
•app1.micmiu.com =>> 对应部署app1 的tomcat
•app2.micmiu.com =>> 对应部署app2 的tomcat
注:可选配置
端口号的修改:
修改tomcat的启动端口(共计5处),在文件conf/server.xml文件找到如下内容:
- <Server port="8005" shutdown="SHUTDOWN">
- <Connector port="8080" protocol="HTTP/1.1"
- connectionTimeout="20000"
- redirectPort="8443" />
-
- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
修改成:
- <Server port="18005" shutdown="SHUTDOWN">
- <Connector port="18080" protocol="HTTP/1.1"
- connectionTimeout="20000"
- redirectPort="18443" />
-
- <Connector port="18009" protocol="AJP/1.3" redirectPort="18443" />
注:由于需要在同一个机器上演示,故需要修改端口号
安全证书配置:
CAS默认使用的是HTTPS协议,如果对安全要求不高,可使用HTTP协议。
修改deployerConfigContext.xml (cas/WEB-INF)增加参数p:requireSecure="false",是否需要安全验证,即HTTPS,false为不采用。
- <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"
- p:requireSecure="false" />
修改 ticketGrantingTicketCookieGenerator.xml(cas/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml) 中ticketGrantingTicketCookieGenerator p:cookieSecure 属性修改为 false。
- <bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
- :cookieSecure="false" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" />
这里以Http为例进行演示
步入正题:
配置服务端
CAS-Server下载地址:http://www.jasig.org/cas/download
我们以cas-server-3.4.11-release.zip为例,解压提取cas-server-3.4.11/modules/cas-server-webapp-3.4.11.war文件,把该文件copy到G:\sso\tomcat-cas\webapps\ 目录下,并重命名为:cas.war.
启动tomcat-cas,在浏览器地址栏输入:https://demo.micmiu.com:8080/cas/login,回车
CAS-server的默认验证规则:只要用户名和密码相同就认证通过(仅仅用于测试,生成环境需要根据实际情况修改),输入admin/admin点击登录,就可以看到登录成功的页面:
输入用户名admin和密码admin登录则会出现
看到上述页面表示CAS-Server已经部署成功。
配置客户端
Cas-Client 下载
CAS-Client下载地址:http://downloads.jasig.org/cas-clients/
以cas-client-3.2.1-release.zip为例,解压提取cas-client-3.2.1/modules/cas-client-core-3.2.1.jar
借以tomcat默认自带的webapps\examples 作为演示的简单web项目
启动tomcat-app1,浏览器输入http://app1.micmiu.com:18080/examples/servlets/回车:
注:端口号修改
- <Connector port="18080" protocol="HTTP/1.1"
- connectionTimeout="20000"
- redirectPort="18443" />
- <Connector port="18009" protocol="AJP/1.3" redirectPort="18443" />
看到上述界面表示tomcat-app1的基本安装配置已经成功。
接下来复制client的lib包cas-client-core-3.2.1.jar和commons-logging-1.1.jar到tomcat-app1\webapps\examples\WEB-INF\lib\目录下,在tomcat-app1\webapps\examples\WEB-INF\web.xml文件中增加如下内容:
- <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
- <listener>
- <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
- </listener>
-
- <!-- 该过滤器用于实现单点登出功能,可选配置。 -->
- <filter>
- <filter-name>CAS Single Sign Out Filter</filter-name>
- <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>CAS Single Sign Out Filter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <!-- 该过滤器负责用户的认证工作,必须启用它 -->
- <filter>
- <filter-name>CAS Filter</filter-name>
- <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
- <init-param>
- <param-name>casServerLoginUrl</param-name>
- <param-value>https://demo.micmiu.com:8080/cas/login</param-value>
- <!--这里的server是服务端的IP -->
-
- </init-param>
- <init-param>
- <param-name>serverName</param-name>
- <param-value>http://app1.micmiu.com:18080</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>CAS Filter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
- <filter>
- <filter-name>CAS Validation Filter</filter-name>
- <filter-class>
- org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
- <init-param>
- <param-name>casServerUrlPrefix</param-name>
- <param-value>https://demo.micmiu.com:8080/cas</param-value>
- </init-param>
- <init-param>
- <param-name>serverName</param-name>
- <param-value>http://app1.micmiu.com:18080</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>CAS Validation Filter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
-
- <!--
- 该过滤器负责实现HttpServletRequest请求的包裹,
- 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
- -->
- <filter>
- <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
- <filter-class>
- org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
-
- <!--
- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
- 比如AssertionHolder.getAssertion().getPrincipal().getName()。
- -->
- <filter>
- <filter-name>CAS Assertion Thread Local Filter</filter-name>
- <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>CAS Assertion Thread Local Filter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
-
- <!-- ======================== 单点登录结束 ======================== -->
第二个examples类似配置。
启动之前配置好的三个tomcat分别为:tomcat-cas、tomcat-app1、tomcat-app2.
基本的测试
预期流程: 打开app1 url —->跳转cas server 验证 —-> 显示app1的应用 —-> 打开app2 url —-> 显示app2应用 —-> 注销casserver —-> 打开app1/app2 url —-> 重新跳转到cas server 验证.
打开浏览器地址栏中输入:http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample,回车:
验证通过后显示如下:
总结:
以上只是简单介绍了CAS的配置过程,也是对第一篇CAS原理的一个补充学习,希望通过原理的学习和结合实践的配置能让我们对CAS的理解更加深刻。
详细的学习教程:
http://www.micmiu.com/enterprise-app/sso/sso-cas-sample/#viewSource
