单点登陆解决方案-CAS

　关于CAS的简单介绍:　　　

　　 一,从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 须要独立部署，主要负责对用户的认证工做；CAS Client 负责处理对客户端受保护资源的访问请求，须要登陆时，重定向到 CAS Server。

 

  　　二,SSO（Single Sign On）单点登陆访问流程主要有如下步骤： 

 

　　1. 访问服务：SSO客户端发送请求访问应用系统提供的服务资源。

 

　　2. 定向认证：SSO客户端会重定向用户请求到SSO服务器。

 

　　3. 用户认证：用户身份认证。

 

　　4. 发放票据：SSO服务器会产生一个随机的Service Ticket。

 

　　5. 验证票据：SSO服务器验证票据Service Ticket的合法性，验证经过后，容许客户端访问服务。

 

　　6. 传输用户信息：SSO服务器验证票据经过后，传输用户认证结果信息给客户端。

 

　　三,CAS Server的部署

　　Cas服务端其实就是一个war包。将其放在tomcat的webapp中启动进行解压,访问http://localhost:8080/cas/login便可看到登陆页  

　　固定 u/p:casuser /Mellon         想用本身数据库中的用户名登陆请参看第五点数据源的配置.

 

　　四,CAS Server的配置　

　　 1,修改TOMCAT的端口和修改cas的WEB-INF/cas.properties ,二者的端口要一致.

　　 2, 去除https认证　　　

                  CAS默认使用的是HTTPS协议，若是使用HTTPS协议须要SSL安全证书（需向特定的机构申请和购买） 。若是对安全要求不高或是在开发测试阶段，可以使用HTTP协议。咱们这里讲解经过修改配置，让CAS使用HTTP协议。

 

（1）修改cas的WEB-INF/deployerConfigContext.xml       找到下面的配置

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>

 

　　　　　　　　　　这里须要增长参数p:requireSecure="false"，requireSecure属性意思为是否须要安全验证，即HTTPS，false为不采用

 

（2）修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml       找到下面配置

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"       p:cookieSecure="true"       p:cookieMaxAge="-1"       p:cookieName="CASTGC"       p:cookiePath="/cas" />

 

参数p:cookieSecure="true"，同理为HTTPS验证相关，TRUE为采用HTTPS验证，FALSE为不采用https验证。

 

参数p:cookieMaxAge="-1"，是COOKIE的最大生命周期，-1为无生命周期，即只在当前打开的窗口有效，关闭或从新打开其它窗口，仍会要求验证。能够根据须要修改成大于0的数字，好比3600等，意思是在3600秒内，打开任意窗口，都不须要验证。

 

咱们这里将cookieSecure改成false ,  cookieMaxAge 改成3600

 

（3）修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml           找到下面配置

 

<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASPRIVACY" p:cookiePath="/cas" />

 

咱们这里将cookieSecure改成false ,  cookieMaxAge 改成3600

 

　　　　五,CAS服务端数据源设置

 

 

　　　　　　（1）修改cas服务端中web-inf下deployerConfigContext.xml ，添加以下配置

 

<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"     p:driverClass="com.mysql.jdbc.Driver"     p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/pinyougoudb?characterEncoding=utf8"     p:user="root"     p:password="123456" /> <bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"   c:encodingAlgorithm="MD5"   p:characterEncoding="UTF-8" />   <bean id="dbAuthHandler"     class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"     p:dataSource-ref="dataSource"     p:sql="select password from tb_user where username = ?"     p:passwordEncoder-ref="passwordEncoder"/>

 

　　　　　　　　　　　　　　　　　　　而后在配置文件开始部分找到以下配置

 

<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">         <constructor-arg>             <map>                                <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver" />                 <entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" />             </map>         </constructor-arg>               <property name="authenticationPolicy">             <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy" />         </property> </bean>

 

　　　　　　　　　　　　　　　　　　　　其中

 

<entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" />

 

　　　　　　　　　　　　一句是使用固定的用户名和密码，咱们在下面能够看到这两个bean ,若是咱们使用数据库认证用户名和密码，须要将这句注释掉。

 

　　　　　　　　　　　　添加下面这一句配置

 

<entry key-ref="dbAuthHandler" value-ref="primaryPrincipalResolver"/>

 

　　　　　　　　　　（2）将如下三个jar包放入webapps\cas\WEB-INF\lib下  

　　　　　　　　　　　　　　　　　　　

 

 

 客户端Demo测试步骤以下:

1,建立Maven工程(war)

2.引入依赖

<dependencies> <!-- cas -->   <dependency>       <groupId>org.jasig.cas.client</groupId>       <artifactId>cas-client-core</artifactId>       <version>3.3.3</version>   </dependency>   <dependency> <groupId>javax.servlet</groupId> <artifactId>servlet-api</artifactId> <version>2.5</version>   <scope>provided</scope> </dependency> </dependencies>     <build>     <plugins>       <plugin>             <groupId>org.apache.maven.plugins</groupId>             <artifactId>maven-compiler-plugin</artifactId>             <version>2.3.2</version>             <configuration>                 <source>1.7</source>                 <target>1.7</target>             </configuration>         </plugin>         <plugin> <groupId>org.apache.tomcat.maven</groupId> <artifactId>tomcat7-maven-plugin</artifactId> <configuration> <!-- 指定端口 --> <port>9001</port> <!-- 请求路径 --> <path>/</path> </configuration>      </plugin>   </plugins>       </build>

 

 

 

 

 

 

 

 

 

 

3,添加web.xml    配置这部分时要注意和服务端的IP保持一致

<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5">     <!-- 用于单点退出，该过滤器用于实现单点登出功能，可选配置 -->       <listener>        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>       </listener>       <!-- 该过滤器用于实现单点登出功能，可选配置。 -->       <filter>           <filter-name>CAS Single Sign Out Filter</filter-name>          <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>       </filter>       <filter-mapping>           <filter-name>CAS Single Sign Out Filter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>       <!-- 该过滤器负责用户的认证工做，必须启用它 -->       <filter>           <filter-name>CASFilter</filter-name>       <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>           <init-param>               <param-name>casServerLoginUrl</param-name>               <param-value>http://localhost:9100/cas/login</param-value>               <!--这里的server是服务端的IP -->           </init-param>           <init-param>               <param-name>serverName</param-name>               <param-value>http://localhost:9001</param-value>         </init-param>       </filter>       <filter-mapping>           <filter-name>CASFilter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>       <!-- 该过滤器负责对Ticket的校验工做，必须启用它 -->       <filter>           <filter-name>CAS Validation Filter</filter-name>           <filter-class>     org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>           <init-param>               <param-name>casServerUrlPrefix</param-name>               <param-value>http://localhost:9100/cas</param-value>           </init-param>           <init-param>               <param-name>serverName</param-name>               <param-value>http://localhost:9001</param-value>         </init-param>       </filter>       <filter-mapping>           <filter-name>CAS Validation Filter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>       <!-- 该过滤器负责实现HttpServletRequest请求的包裹， 好比容许开发者经过HttpServletRequest的getRemoteUser()方法得到SSO登陆用户的登陆名，可选配置。 -->       <filter>           <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>           <filter-class>               org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>       </filter>       <filter-mapping>           <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>       <!-- 该过滤器使得开发者能够经过org.jasig.cas.client.util.AssertionHolder来获取用户的登陆名。 好比AssertionHolder.getAssertion().getPrincipal().getName()。 -->       <filter>           <filter-name>CAS Assertion Thread Local Filter</filter-name>       <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>       </filter>       <filter-mapping>           <filter-name>CAS Assertion Thread Local Filter</filter-name>           <url-pattern>/*</url-pattern>       </filter-mapping>   </web-app>

 

 

 4,编写index.jsp进行访问测试

　　　　　　　　　　　　

<%@ page language="java" contentType="text/html; charset=utf-8"

    pageEncoding="utf-8"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>测试</title>

</head>

<body>

<%=request.getRemoteUser()%>  //获取远程登陆名

</body>

</html>

 

5,再建立一个和上面同样的工程进行单点登陆测试

 

 

 　　　　　　　　　　　　　　　　六,单点退出

　　　　　　

　　　　　　　　　　　　　　　　　　　　　　咱们能够将这个连接添加到index.jsp中

<a href="http://localhost:9100/cas/logout">退出登陆</a>

　　　　　　　　　　　　　　　　　　　　　　　　但咱们更但愿退出登陆后，能自动跳转到某个页面，那如何处理呢？

　　　　　　　　　　　　　　　　　　　　　　　　修改cas系统的配置文件cas-servlet.xml

<bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction"         p:servicesManager-ref="servicesManager"         p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/>

　　　　　　　　　　　　　　　　　　　　　　　　改成true后，能够在退出时跳转页面到目标页面，修改index.jsp的退出连接

<a href="http://localhost:9100/cas/logout?service=http://www.baidu.com">退出登陆</a>

 

 

　　　　　　　　　　　　　　七,,可能你也看到了,有时候登陆页不是咱们想要的样子,错误提示也不是咱们想要的样子,

　　　　　　　　　　　　　　　　

　　　　　　　　　　　　　　1.　登陆界面改造   :cas系统下WEB-INF\view\jsp\default\ui 目录下的casLoginView.jsp即为登陆页,修改的时候注意form表单里面的一些参数要保留

 

　　　　　　　　　　　　　　2.错误提示框

<form:errors path="*" id="msg" cssClass="errors" element="div" htmlEscape="false" />

　　　　　　　　　　　　　　　　　　　　　　测试：输入错误的用户名和密码，提示是英文。这个提示信息是在WEB-INF\classes目录下的messages.properties文件中

authenticationFailure.AccountNotFoundException=Invalid credentials. authenticationFailure.FailedLoginException=Invalid credentials.

　　　　　　　　　　　　　　　　　　　　　　设置国际化为zn_CN  ,修改cas-servlet.xml

<bean id="localeResolver" class="org.springframework.web.servlet.i18n.CookieLocaleResolver" p:defaultLocale="zh_CN" />

　　　　　　　　　　　　　　　　　　　　　　咱们须要将此信息拷贝到messages_zh_CN.properties下，并改成中文提示（转码）

authenticationFailure.AccountNotFoundException=\u7528\u6237\u4E0D\u5B58\u5728. authenticationFailure.FailedLoginException=\u5BC6\u7801\u9519\u8BEF.