CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登陆方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具备如下特色:java
- 开源的企业级单点登陆解决方案。
- CAS Server 为须要独立部署的 Web 应用。
- 支持很是多的客户端(这里指单点登陆系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
CAS 原理和协议
从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 须要独立部署,主要负责对用户的认证工做;CAS Client 负责处理对客户端受保护资源的访问请求,须要登陆时,重定向到 CAS Server。图1 是 CAS 最基本的协议过程:
图 1. CAS 基础协议mysql
CAS Client 与受保护的客户端应用部署在一块儿,以 Filter 方式保护受保护的资源。对于访问受保护资源的每一个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket,若是没有,则说明当前用户还没有登陆,因而将请求重定向到指定好的 CAS Server 登陆地址,并传递 Service (也就是要访问的目的资源地址),以便登陆成功事后转回该地址。用户在第 3 步中输入认证信息,若是登陆成功,CAS Server 随机产生一个至关长度、惟1、不可伪造的 Service Ticket,并缓存以待未来验证,以后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新产生的 Ticket 事后,在第 5,6 步中与 CAS Server 进行身份合适,以确保 Service Ticket 的合法性。web
在该协议中,全部与 CAS 的交互均采用 SSL 协议,确保,ST 和 TGC 的安全性。协议工做过程当中会有 2 次重定向的过程,可是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。spring
另外,CAS 协议中还提供了 Proxy (代理)模式,以适应更加高级、复杂的应用场景,具体介绍能够参考 CAS 官方网站上的相关文档。sql
CAS服务器端配置
配置服务器环境
首先下载必须的软件:数据库
Tomcat6.0: http://tomcat.apache.org/download-60.cgi
Windows Service Installerapache
Jdk: http://java.sun.com/javase/downloads/index.jsp
你能够选择带有 jre 的安装文件或者你机器里如今有 jre 环境则只须要下载 JDK.
Java SE 6 Update 10 Beta (不带JRE)
JDK 6 Update 6 (带JRE)
Java Runtime Environment (JRE) 6 Update 6 (JRE)
下面按步骤来:
1.安装JDK和JRE
一直下一步到安装完成,记住JDK安装的路径。bootstrap
2.设置JDK相关的环境变量
1).切换到桌面,右键点击“个人电脑” -> 属性 -> 高级 -> 如图 创建一个 JAVA_HOME 环境变量,变量值为JDK的根目录。windows
2).和上面同样的操做,创建 环境变量 CLASSPATH,值为 “.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\tools.jar;%JAVA_HOME%\jre\lib\rt.jar”
3).仍是操做环境变量但不是新建,而是编辑。编辑 Path 变量,最变量值最后面加上 ;%JAVA_HOME%\bin;
3.安装Tomcat
1).一直下一步,中间须要选择安装路径和 JVM 目录,若是JDK和JRE安装没问题,这里他应该能自动找获得,不然须要你手动指定一下。 中间什么也不用管,有一部让你设置端口,不用动,保持默认的就好了。
2).新增一个 CATALINA_HOME 环境变量,变量值为你TOMCAT安装时的根目录。
3.测试运行服务器
安装后的bin目录共有一下几个文件:
bootstrap.jar
tomcat-juli.jar
tomcat6.exe
tomcat6w.exe
其中tomcat6w.exe是监控tomcat运行的,能够直接运行,或者缩小到屏幕右下角成为一个小图标。
直接运行tomcat6w.exe或者“tomcat6w //ES//” 均可以进入监控配置窗口;
或者运行“tomcat6w //MS//”把它缩小到右下角。
也可用startup.bat和shutdown.bat 来启动和关闭服务。
web访问测试
启动后,能够经过浏览器进行访问,测试运行是否正常。
用IE或者Firefox等浏览器,输入地址:
http://localhost:8080/ –若是安装时修改了端口,请把8080用修改后的值替换。
若是可以正常浏览到tomcat欢迎信息,就是正确了,不然就要检查安装是否正确、防火墙的设置等。
常常遇到的一个问题是端口冲突,最多见的就是80端口被占用,致使服务没法正常启动。若是经过tomcat6 //TS//tomcat6来启动,立刻就可以发现提示信息。修改一下tomcat6\conf\server.xml中的端口就可以解决。
一般使用80端口的有:
1. IIS服务器,由于在windows服务器上,不少都安装了IIS,而IIS默认的端口就是80.
2. skype即时聊天工具,skype的能够穿透防火墙的本领,也是经过占用80端口实现的。
查看端口占用的命令:
进入windows命令行,输入:
netstat -an
这个命令返回有4列:protocol协议、local address本机地址、foreign address来访者地址、status状态
浏览本机地址一列,能够看到当前主机对外服务的IP地址、端口都有哪些。
若是一台机器有192.168.1.100和192.168.1.101两个地址,那么:
0.0.0.0:80表示这台机器上全部80端口都被使用
127.0.0.1:80表示127.0.0.1的80被使用,但.100和.101IP地址的80还未使用。
192.168.1.100:80表示.100IP地址的80端口被使用
192.168.1.101:80表示.101IP地址的80端口被使用
部署 CAS Server
CAS Server 是一套基于 Java 实现的服务,该服务以一个 Java Web Application 单独部署在与 servlet2.3 兼容的 Web 服务器上,另外,因为 Client 与 CAS Server 之间的交互采用 Https 协议,所以部署 CAS Server 的服务器还须要支持 SSL 协议。当 SSL 配置成功事后,像普通 Web 应用同样将 CAS Server 部署在服务器上就能正常运行了,不过,在真正使用以前,还须要扩展验证用户的接口。
Tomcat配置HTTPS方式
一、开始-〉运行-〉cmd 进入到jdk下的bin目录
二、输入以下指令
keytool -v -genkey -alias tomcat -keyalg RSA -keystore d:/tomcat.keystore -validity 36500
附:
d:/tomcat.keystore是将生成的tomcat.keystore放到d盘根目录下。
“-validity 36500”含义是证书有效期,36500表示100年,默认值是90天
注意若要放到c盘,在win7系统下,须要以管理员身份进入到命令行中进行操做,不然是没法建立tomcat.keystore的。本例放到d盘下。
如何以管理员身份进入到命令行下呢?开始->搜索框中输入cmd->等待(注意不回车)->出现cmd.exe->右键“以管理员身份运行”便可。
三、输入keystore密码
密码任意,此处以123456为例,要记住这个密码,以后在进行server.xml配置时须要使用。
四、输入名字、组织单位、组织、市、省、国家等信息
注意事项:
A、Enter keystore password:此处须要输入大于6个字符的字符串
B、“What is your first and last name?”这是必填项,而且必须是TOMCAT部署主机的域名或者IP[如:gbcom.com 或者 10.1.25.251],就是你未来要在浏览器中输入的访问地址
C、“What is the name of your organizational unit?”、“What is the name of your organization?”、“What is the name of your City or Locality?”、“What is the name of your State or Province?”、“What is the two-letter country code for this unit?”能够按照须要填写也能够不填写直接回车,在系统询问“correct?”时,对照输入信息,若是符合要求则使用键盘输入字母“y”,不然输入“n”从新填写上面的信息
D、Enter key password for <tomcat>,这项较为重要,会在tomcat配置文件中使用,建议输入与keystore的密码一致,设置其它密码也能够
l 完成上述输入后,直接回车则在你在第二步中定义的位置找到生成的文件
五、输入以后会出现确认的提示
此时输入y,并回车。此时建立完成keystore。
进入到D盘根目录下能够看到已经生成的tomcat.xml
六、进入tomcat文件夹
找到conf目录下的sever.xml并进行编辑
七、编辑
<Connector port=”8443″ protocol=”HTTP/1.1″ SSLEnabled=”true”
maxThreads=”150″ scheme=”https” secure=”true”
clientAuth=”false” keystoreFile=”D:/AppServer/Tomcat/apache-tomcat-6.0.32/conf/tomcat.keystore”
keystorePass=”deleiguo” sslProtocol=”TLS” />
注:
方框中的keystore的密码,就是刚才咱们设置的“123456”.
编辑完成后关闭并保存sever.xml
八、Tomcat启动成功后,使用https://127.0.0.1:8443 访问页面
页面成功打开即tomcat下的https配置成功。
九、注意事项:
(1) 生成证书的时间,若是IE客户端所在机器的时间早于证书生效时间,或者晚于有效时间,IE会提示“该安全证书已到期或还未生效”
(2) 若是IE提示“安全证书上的名称无效或者与站点名称不匹配”,则是由生成证书时填写的服务器所在主机的域名“您的名字与姓氏是什么?”/“What is your first and last name?”不正确引发的
十、遗留问题:
(1)若是AC主机不能经过域名查找,必须使用IP,可是这个IP只有在配置后才能肯定,这样证书就必须在AC肯定IP地址后才能生成
(2)证书文件只能绑定一个IP地址,假设有10.1.25.250 和 192.168.1.250 两个IP地址,在证书生成文件时,如使用了10.1.25.250,经过IE就只能使用10.1.25.250 来访问AC-WEB,192.168.1.250是没法访问AC-WEB的。
配置CAS
- 下载cas http://www.ja-sig.org/downloads/cas/cas-server-3.4.2-release.zip
- 安装cas-server,咱们假定安装cas-server的服务器为server1
(1) 将cas-server-3.4.2-release.zip 解压,将moudels目录下cas-server-webapp-x.x.war拷贝到tomcat的webapps目录下,修 更名称为cas.war.
(2) 生成server1的安全证书:
keytool -export -alias tomcat -file D:/file.cer -keystore d:/tomcat.keystore -validity 36500
而后输入d:/tomcat.keystore中的keystore密码
-file D:/file.cer 即为生成的cer文件,可直接点击安装
(3) 从新启动server1上的tomcat,检验cas配置是否成功,访问https://ip或域名:8443/cas/login,若是能看到cas的登陆页面则表示配置成功。
cas客户端配置
一、准备CAS的PHP库和相关库文件
1)下载 cas php客户端 http://downloads.jasig.org/cas-clients/php/current/CAS-1.3.1.tgz
2) 因为其用到了PEAR的DB库,须要下载
http://pear.php.net/get/PEAR-1.7.1.tgz
http://pear.php.net/get/DB-1.7.13.tgz
固然不必定是我说的版本,但我给的是我试验成功的版本。
3) 用于使用到了SSL因此须要下载openssl。固然我是在windows环境下试验的,下载的windows版本。
4)安装openssl。
二、配置PHP环境
1)将CAS-1.3.1.tgz、PEAR-1.7.1.tgz、DB-1.7.13.tgz放在同一个目录如图。
4)因为phpcas用到了CURL(用于链接ssl),所以须要保证php解释环境须要有这个扩展。须要作的就是修改ini文件将extentions节下的屏蔽符号去掉,而后就是检查PHP环境的extentions目录下是否有对应的.dll。通常标准安装都会有。
三、测试CAS的php客户端
1)在CAS-1.3.1.tgz中的docs/examples文件夹拷贝到网站的根目录下。
2)config.example.php 修改成config.php
3)打开config.php 进行修改
4)访问 localhost:8080/examples/example_simple.php (客户端的地址)
会跳转到CAS服务器登陆页面。默认只要用户名和密码相同就能够经过验证。
登录成功后会中转到客户端。提示验证成功。
其它客户端的配置按以上步骤配置。便可实现单点。
进阶
CAS服务端使用数据库验证用户
建立表
create table t_user(
username varchar(200) primary key,
password varchar(200)
);
insertinto users(username,password) values(‘test’,’123′);
添加jar
将数据库驱动包:mysql-connector-java-5.1.5-bin.jar cas-server-support-jdbc-3.x.x.jar(来自于\cas-server-3.4.2\modules) copy到cas/WEB-INF/lib/下
建立验证service层
建立LoginDAO
public class LoginDAO extends JdbcDaoSupport {
public List queryList(String sql,Object[] objs){
return this.getJdbcTemplate().queryForList(sql, objs);
}
}
建立LoginService
public class LoginService {
private LoginDAO loginDAO;
/**
* 判断用户登陆信息
* @param username
* @param password
* @return null为用户不存在,false密码错误,true登陆成功
*/
public Boolean isUserCorrect(String username,String password){
String sql = “select password from t_user where username=?”;
List results = loginDAO.queryList(sql, new Object[]{username});
if(results==null||results.size()==0){
return null;
}else if(password.equals(((Map)results.get(0)).get(“password”).toString())){
return new Boolean(true);
}else{
return new Boolean(false);
}
}
public LoginDAO getLoginDAO() {
return loginDAO;
}
public void setLoginDAO(LoginDAO loginDAO) {
this.loginDAO = loginDAO;
}
}
重写验证类
//重写AbstractUsernamePasswordAuthenticationHandler中验证方法authenticateUsernamePasswordInternal
public class UserAuthenticationHandler extends
AbstractUsernamePasswordAuthenticationHandler {
private LoginService loginService;
@Override
protected boolean authenticateUsernamePasswordInternal(
UsernamePasswordCredentials credentials) throws AuthenticationException {
String username = credentials.getUsername();
String password = credentials.getPassword();
Boolean result = loginService.isUserCorrect(username, password);
if(result==null){
//用户不存在,”error.authentication.credentials.bad.usernameorpassword.username”必须在message配置文件中定义,验证失败时会在登陆页面显示信息
throw new BadPasswordAuthenticationException(“error.authentication.credentials.bad.usernameorpassword.username”);
}else if(!result.booleanValue()){
//密码错误
throw new BadPasswordAuthenticationException(“error.authentication.credentials.bad.usernameorpassword.password”);
}else{
//登陆成功
return true;
}
}
public LoginService getLoginService() {
return loginService;
}
public void setLoginService(LoginService loginService) {
this.loginService = loginService;
}
}
定义错误信息
在messages_zh_CN.properties中添加验证出错信息
error.authentication.credentials.bad.usernameorpassword.username=用户不存在
error.authentication.credentials.bad.usernameorpassword.password=密码错误
配置WEB-INF\deployerConfigContext.xml文件
<!– 在添加DataSource –>
<bean id=”dataSource” class=”org.springframework.jdbc.datasource.DriverManagerDataSource” >
<property name=”driverClassName”>
<value>com.mysql.jdbc.Driver</value>
</property>
<property name=”url”>
<value>jdbc:mysql://localhost:3306/test</value>
</property>
<property name=”username”>
<value>root</value>
</property>
<property name=”password”>
<value>root</value>
</property>
</bean>
<!– 注入Service和DAO –>
<bean name=”jdbcTemplate” class=”org.springframework.jdbc.core.JdbcTemplate”>
<property name=”dataSource” ref=”dataSource”></property>
</bean>
<bean name=”loginDAO” class=”com.cas.dao.LoginDAO”>
<property name=”jdbcTemplate” ref=”jdbcTemplate”></property>
</bean>
<bean name=”loginService” class=”com.cas.service.LoginService”>
<property name=”loginDAO” ref=”loginDAO”></property>
</bean>
<!– 找到SimpleTestUsernamePasswordAuthenticationHandler的bean,将它注释掉,添加下面的bean –>
<bean class=”com.cas.authentication.UserAuthenticationHandler” >
<property name=”loginService” ref=”loginService”></property>
</bean>启动tomcat,测试登陆.(若是是使用war在tomcat解压的服务端,必须将上面类的编译完的class文件,包,信息配置文件复制到WEB-INF\classes下)