单点登录——CAS
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的 session 是无法解决的,我们需要使用相关的单点登录技术来解决。
单点登录流程图
一、CAS的简介
CAS是一个为Web应用系统提供一种可靠的单点登录方法的开源项目,可以支持非常多的客户端,包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
从结构上看,CAS 包含两个部分:CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。
CAS基本的协议过程
SSO单点登录访问流程的步骤:
1. 访问服务:SSO 客户端发送请求访问应用系统提供的服务资源。
2. 定向认证:SSO 客户端会重定向用户请求到 SSO 服务器。
3. 用户认证:用户身份认证。
4. 发放票据:SSO服务器会产生一个随机的Service Ticket。
5. 验证票据:SSO服务器验证票据 Service Ticket的合法性,验证通过后,允许客户端访问服务。
6. 传输用户信息:SSO服务器验证票据通过后,传输用户认证结果信息给客户端。
二、CAS服务端部署
CAS服务端其实就是一个war包,下载链接: https://pan.baidu.com/s/16xH8BZEYt9ra5ZK1vRB8-w 密码: ebzh,为大家提供的CAS版本是4.0.0,有兴趣的也可以从官网下载:https://www.apereo.org/projects/cas。
1、CAS的安装
解压资源中的cas-server-4.0.0-release.zip文件,将cas-server-4.0.0-release\cas-server-4.0.0\modules路径下的cas-server-webapp-4.0.0.war复制到tomcat路径的webapps目录中(我在这里将war包进行了重新命名),然后启动tomcat。
注意:最好是使用一个新的tomcat安装cas,否则可能出现一些问题
tomcat启动后webapps目录下的文件
然后在浏览器中进行测试,输入地址http://localhost:8080/cas/login,显示下面的页面:
默认登录界面
输入默认的用户名和密码:casuser /Mellon,登陆成功后会显示下面的页面:
登陆成功
2、端口修改
如果我们不希望用 8080 端口访问 CAS, 可以修改端口。
在tomcat目录下的conf\server.xml中,找到下面的配置进行修改:
server.xml的配置
修改 cas 的 WEB-INF/cas.properties :
cas.properties的配置
3、CAS默认用户名和密码的修改
(1)添加固定的用户名和密码
在apache-tomcat-7.0.52\webapps\cas\WEB-INF此路径下找到配置文件deployerConfigContext.xml,打开并修改下列内容:
添加用户名和密码
(2)从数据库中读取用户名和密码
同样在deployerConfigContext.xml中,加入下列配置:
<!--
使用数据库中的用户名和密码需要配置三个bean
数据库连接池(dataSource):
可以使用c3p0、Druid等数据库连接池,并进行相应的配置
密码编码处理器(passwordEncoder):
由于数据库中的密码使用了MD5技术进行了加密,所以需要加入这个配置,没有加密的可以不用
新的认证处理器(dbAuthHandler):
这个bean类似于上面说的默认的认证处理器,需要配置默认的数据库连接池、sql语句、以及密码编码处理器
-->
<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"
p:driverClass="com.mysql.jdbc.Driver"
p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/pinyougoudb?characterEncoding=utf8"
p:user="root"
p:password="1234" />
<bean id="passwordEncoder"
class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"
c:encodingAlgorithm="MD5"
p:characterEncoding="UTF-8" />
<bean id="dbAuthHandler"
class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"
p:dataSource-ref="dataSource"
p:sql="select password from tb_user where username = ?"
p:passwordEncoder-ref="passwordEncoder"/>
然后修改默认的认证处理器,修改后,原来默认的用户名和密码以及上面新增的都不能再使用:
修改默认的认证处理器
注意:还需要将相应的jar包放入到webapps\cas\WEB-INF\lib 下,资源中有提供
需要的jar包
最后使用数据库中的用户名和密码进行测试。
4、CAS去除 https 认证
CAS默认使用的是HTTPS协议,如果使用HTTPS协议需要SSL安全证书(需向特定的机 构申请和购买)。如果对安全要求不高或是在开发测试阶段,可使用HTTP 协议。我们这 里讲解通过修改配置,让CAS 使用 HTTP 协议。
(1)修改 cas 的 WEB-INF/deployerConfigContext.xml
requireSecure 属性意思为是否需要安全验证,即 HTTPS,false为不采用。
(2)修改 cas 的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml
(3)修改 cas 的 WEB-INF/spring-configuration/warnCookieGenerator.xml
三、CAS单点登录测试
首先创建两个maven工程(war),引入下面的依赖,端口号分别设置为9001和9002。
<dependencies>
<!-- cas -->
<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.3.3</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>2.3.2</version>
<configuration>
<source>1.7</source>
<target>1.7</target>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>9001</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
创建工程
然后添加web.xml文件,修改对应的端口
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<!-- ======================== 单点登录开始 ======================== -->
<!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责用户的认证工作,必须启用它 -->
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>http://localhost:9100/cas/login</param-value>
<!--这里的server是服务端的IP -->
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:9001</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:9100/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:9001</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- ======================== 单点登录结束 ======================== -->
</web-app>
最后编写jsp页面进行测试,jsp中的表达式request.getRemoteUser()是为了获得登陆的用户名。
<%@ page language="java" contentType="text/html; charset=utf-8"
pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>主页一</title>
</head>
<body>
欢迎来到主页一
<%=request.getRemoteUser()%>
</body>
</html>
四、单点登出
在地址栏输入http://localhost:9100/cas/logout,就能看见登出页面
注销页面
登出后页面的跳转
如果我们想要在用户注销登录后跳转到一个页面,那么需要两个步骤:
修改cas的配置文件cas-servlet.xml
修改配置
在地址后添加页面跳转地址
地址栏输入http://localhost:9100/cas/logout?service=http://www.baidu.com,
service后拼接需要跳转的地址。
