SSO单点登陆Spring-Security & CAS使用手册

1.1概述

1.1.1单点登陆介绍

单点登陆（Single Sign On , 简称 SSO ）是目前比较流行的服务于企业业务整合的解决方案之一， SSO 使得在多个应用系统中，用户只须要登陆一次就能够访问全部相互信任的应用系统。CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登陆框架。

本文介绍了 CAS 的原理、协议、以及配合Spring-Security在 Tomcat 中的配置和使用。

1.1.2 CAS 、Spring Security介绍

CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登陆方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具备如下特色：

• 开源的企业级单点登陆解决方案。
• CAS Server 为须要独立部署的 Web 应用。
• CAS Client 支持很是多的客户端(这里指单点登陆系统中的各个 Web 应用)，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

Spring Security为基于J2EE企业应用软件提供了全面安全服务。Spring Security普遍支持各类身份验证模式。 这些验证模型绝大多数都由第三方提供，或正在开发的有关标准机构提供的，例如Internet Engineering Task Force。 做为补充，Spring Security也提供了本身的一套验证功能。

1.1.3 CAS 原理和协议

从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 须要独立部署，主要负责对用户的认证工做；CAS Client 负责处理对客户端受保护资源的访问请求，须要登陆时，重定向到 CAS Server。图1 是 CAS 最基本的协议过程：

图 1. CAS 基础协议

CAS Client 与受保护的客户端应用部署在一块儿，以 Filter 方式保护受保护的资源。对于访问受保护资源的每一个 Web 请求，CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket，若是没有，则说明当前用户还没有登陆，因而将请求重定向到指定好的 CAS Server 登陆地址，并传递 Service （也就是要访问的目的资源地址），以便登陆成功事后转回该地址。用户在第 3 步中输入认证信息，若是登陆成功，CAS Server 随机产生一个至关长度、惟1、不可伪造的 Service Ticket，并缓存以待未来验证，以后系统自动重定向到 Service 所在地址，并为客户端浏览器设置一个 Ticket Granted Cookie（TGC），CAS Client 在拿到 Service 和新产生的 Ticket 事后，在第 5，6 步中与 CAS Server 进行身份合适，以确保 Service Ticket 的合法性。

在该协议中，全部与 CAS 的交互均采用 SSL 协议，确保，ST 和 TGC 的安全性。协议工做过程当中会有 2 次重定向的过程，可是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。

另外，CAS 协议中还提供了 Proxy （代理）模式，以适应更加高级、复杂的应用场景，具体介绍能够参考 CAS 官方网站上的相关文档。

1.2 术语定义

SSO ： 单点登陆（Single Sign On , 简称 SSO ）

CAS ： CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登陆框架

认证 ： 是为用户创建一个他所声明的主体。 主体通常是指用户，设备或能够在你系统中执行行动的其余系统。

受权 ： 指的一个用户可否在你的应用中执行某个操做。 在到达受权判断以前，身份的主体已经由身份验证过程创建了。

认证和受权是通用的，不是Spring Security特有的。

1.3 参考资料

http://www.ja-sig.org/products/cas/

http://www.ja-sig.org/wiki/display/CASUM/Home

http://static.springframework.org/spring-security/site/index.html

http://family168.com/tutorial/springsecurity/html/springsecurity.html

--------------------------------------------------------------------------------------------------------

http://www.cnblogs.com/vhua/p/cas_1.html

http://blog.csdn.net/small_love/article/details/6664831

http://steven-wiki.readthedocs.io/en/latest/security/cas-tomcat/

http://www.kafeitu.me/sso/2010/11/05/sso-cas-full-course.html

http://www.ibm.com/developerworks/cn/opensource/os-cn-cas/

2 CAS Server安装部署

2.1准备工做

OS: Centos6

JDK: 1.8.0_11

Web Server: Tomcat-7.0.73

CAS Server: cas-server-4.0.0

下载连接：

http://tomcat.apache.org/download-70.cgi

https://github.com/apereo/cas/releases?after=v4.0.2

http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html

2.2开始部署 CAS Server

CAS Server 是一套基于 Java 实现的服务，该服务以一个 Java Web Application 单独部署在与 servlet2.3 兼容的 Web 服务器上，另外，因为 Client 与 CAS Server 之间的交互采用 Https 协议，所以部署 CAS Server 的服务器还须要支持 SSL 协议。当 SSL 配置成功事后，像普通 Web 应用同样将 CAS Server 部署在服务器上就能正常运行了，不过，在真正使用以前，还须要扩展验证用户的接口。

在 Tomcat 上部署一个完整的 CAS Server 主要按照如下几个步骤：

2.2.1 配置 Tomcat 使用 Https 协议

若是但愿 Tomcat 支持 Https，主要的工做是配置 SSL 协议，其配置过程和配置方法能够参考 Tomcat 的相关文档。不过在生成证书的过程当中，会有须要用到主机名的地方，CAS 建议不要使用 IP 地址，而要使用机器名或域名。

为了实现SSL，一个Web服务必须对每个接受安全链接的外部接口或者IP地址有一个相关联的证书，数字证书的获取通常从像verisign或者Thawte这样的著名证书颁发机构(Certificate Authority CA)购买证书，或者若是身份验证并不很重要，好比管理员只是但愿保证服务器发送和接收的数据是私有的而且不能被链接中的任何窃听者探听到，则能够只是使用自签名的证书，从而省去获取CA证书的时间和成本。此处使用自签名证书做为客户端与服务器端安全通讯的凭证。

1. 安装JDK1.8

2. 安装tomcat7

3. 设置环境变量JAVA_HOME

安装完毕，启动Tomcat ，在浏览器上 测试 http://localhost:8080/

出现上述界面，代表系统tomcat成功搭建。

4. 使用Java Keytool工具为系统生成HTTPS证书，并为系统注册

cd $JAVA_HOME/jre/lib/security/

cd /usr/lib/jvm/java-1.8.0-openjdk-1.8.0.111-0.b15.el6_8.x86_64/jre/lib/security

keytool -delete -alias tomcat-cas-server -keystore "cacerts" -storepass changeit

keytool -delete -alias tomcat-cas-server -storepass changeit

（注释： 清除系统中可能存在的名字为tomcat-cas-server的同名证书，“changeit”是jdk中证书的默认密码，若是系统中无tomcat-cas-server名称的证书，则弹出错误警告信息，不用理会）

keytool -list -keystore "/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.111-0.b15.el6_8.x86_64/jre/lib/security/cacerts" -storepass changeit

（注释： 列出系统证书仓库中存在证书名称列表）

keytool -genkey -validity 36000 -keyalg RSA -alias tomcat-cas-server -dname "cn=hello.cas.server" -storepass changeit

cn换成本身的域名

（注释：若是不指定证书文件的文件名和存放地址，默认位置为用户家目录, 默认文件名 .keystore, 具体参数参见keytool命令。

[-validity <valDays>]为证书有效期，指定使用RSA算法，生成别名为tomcat-cas-server的证书，存贮口令为changeit，也能够保存其余的口令！证书的DN为"cn= test.cas.server "，这个DN必须同当前主机完整名称一致哦，切记！！！）

keytool -export -alias tomcat-cas-server -file "$JAVA_HOME/jre/lib/security/server.crt" -storepass changeit

$JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.111-0.b15.el6_8.x86_64/

（注释： 从keystore中导出别名为tomcat-cas-server的证书，生成文件server.crt）

keytool -import -alias tomcat-cas-server -file "server.crt" -keystore "cacerts" -storepass changeit

（注释：将server.crt导入jre的可信任证书仓库。注意，安装JDK是有两个jre目录，一个在jdk底下，一个是独立的jre，这里的目录必须同Tomcat使用的jre目录一致，不然后面Tomcat的HTTPS通信就找不到证书了）

重点：保存该server.crt证书，CAS Client端部署的时候一样须要导入该证书。这样CAS Server和Cas Client才能经过“握手”验证。

keytool -list -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit > list.txt

（注释：列出jre可信任证书仓库中证书名单，验证先前的导入是否成功，若是导入成功，应该在列表中能找到tomcat-cas-server这个别名）

在%JAVA_HOME%\jre\lib\security目录下能找到“server.crt”这个文件；

在用户家目录目录下能找到“.keystore”文件。

拷贝.keystore到$CATALINA_HOME\conf下。

$CATALINA_HOME=tomcat安装目录

--------------------------------------------------------------------------------------------------------------

5. 配置Tomcat的HTTPS服务

编辑%CATALINA_HOME%\conf下的server.xml文件，修改<!-- Define a SSL HTTP/1.1 Connector on port 8443 -->下面的http1.1配置，

<Connector protocol="org.apache.coyote.http11.Http11Protocol"

                        port="8443" minSpareThreads="5" maxSpareThreads="75"

                        enableLookups="true" disableUploadTimeout="true"

                        acceptCount="100" maxThreads="200"

                        scheme="https" secure="true" SSLEnabled="true"

                        keystoreFile="conf/.keystore"

                        keystorePass="changeit"

                        clientAuth="false" sslProtocol="TLS" />

<!-- keystoreFile 指定证书位置，若是不指定默认位置为用户加目录下.keystore -->

<!—keystorePass你生成证书时的口令 -->

<Connector protocol="org.apache.coyote.http11.Http11Protocol"

port="8443" minSpareThreads="5" maxSpareThreads="75"

enableLookups="true" disableUploadTimeout="true"

acceptCount="100" maxThreads="200"

scheme="https" secure="true" SSLEnabled="true"

keystoreFile="conf/.keystore"

keystorePass="changeit"

clientAuth="false" sslProtocol="TLS" useBodyEncodingForURI="true" />

重启Tomcat，访问https://hello.cas.server:8443/，出现如下界面说明HTTPS配置生效：

2.2.2部署 CAS WAR

CAS Server 是一个 Web 应用包，将解压后的文件夹中的 /module中的 cas-server-webapp-4.0.0.war 复制到 tomcat的 webapps 目录。将拷贝后的war文件重命名成 cas.war (会在webapps文件夹下自动解压出 cas 文件夹, 下文中将用%CAS_SERVER_HOME%来表示这个文件夹)，因为前面已配置好 tomcat 的 https 协议，能够从新启动 tomcat，而后访问：https:// hello.cas.server:8443/cas ，若是能出现正常的 CAS 登陆页面，则说明 CAS Server 已经部署成功。

虽然 CAS Server 已经部署成功，但这只是一个缺省的实现，在实际使用的时候，还须要根据实际概况作扩展和定制，最主要的是扩展认证 (Authentication) 接口和 CAS Server 的界面。

注意：cas-server4.0以前的默认验证规则：只要用户名和密码相同就认证经过

4.0 以后规则改了，默认是配置在 deployerConfigContext.xml 配置文件中，能够看到用户名密为 casuser/Mellon

路径：/usr/local/tomcat/webapps/cas/WEB-INF/deployerConfigContext.xml

（注：目录下给的cas.war里面已经包含了简单的jdbc配置，而且已经包含须要的jar包，配置人员配置时须要留意，参考修改配置。原war包能够从cas-server-4.0.0-release.zip下cas-server-4.0.0/ modules/ cas-server-webapp-4.0.0.war得到）

2.3扩展认证接口- JDBC 认证方法

用户的认证信息一般保存在数据库中，所以本文就选用这种状况来介绍。将前面下载的 cas-server-4.0.0-release.zip 包解开后，在 modules 目录下能够找到包 cas-server-support-jdbc-4.0.0.jar，其提供了经过 JDBC 链接数据库进行验证的缺省实现，基于该包的支持，咱们只须要作一些配置工做便可实现 JDBC 认证。

JDBC 认证方法支持多种数据库，DB2, Oracle, MySql, Microsoft SQL Server 等都可，这里以 mysql 做为例子介绍。而且假设mysql数据库名： test，数据库登陆用户名： root，数据库登陆密码： 12345，用户信息表为： users。

DROP TABLE IF EXISTS `users`;

CREATE TABLE  `users` (

  `username` varchar(50) NOT NULL,

  `password` varchar(50) NOT NULL,

  `enabled` char(1) NOT NULL DEFAULT 'Y',

  PRIMARY KEY (`username`)

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

 

记住这里的表名users 和字段（username，password，enabled），后面要用到。

Insert into users values ('jim','12345', 'Y');

Insert into users values ('marry', '54321', 'Y');

1. 配置 DataStore

打开文件 %CATALINA_HOME%/webapps/cas/WEB-INF/deployerConfigContext.xml，添加一个新的 bean 标签，对于 mysql，内容以下：

<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource" destroy-method="close">

              <property name="driverClassName"><value>com.mysql.jdbc.Driver</value></property>

              <property name="url"><value>jdbc:mysql://127.0.0.1:3306/test</value></property>

              <property name="username"><value>root</value></property>

              <property name="password"><value>12345</value></property>

</bean>

其中 id 属性为该 DataStore 的标识，在后面配置 AuthenticationHandler 会被引用，另外，须要提供 DataStore 所必需的数据库驱动程序、链接地址、数据库登陆用户名以及登陆密码。

2. 配置 AuthenticationHandler

在 cas-server-support-jdbc-4.0.0.jar包中，提供了 3 个基于 JDBC 的 AuthenticationHandler，分别为 BindModeSearchDatabaseAuthenticationHandler, QueryDatabaseAuthenticationHandler, SearchModeSearchDatabaseAuthenticationHandler。其中 BindModeSearchDatabaseAuthenticationHandler 是用所给的用户名和密码去创建数据库链接，根据链接创建是否成功来判断验证成功与否；QueryDatabaseAuthenticationHandler 经过配置一个 SQL 语句查出密码，与所给密码匹配；SearchModeSearchDatabaseAuthenticationHandler 经过配置存放用户验证信息的表、用户名字段和密码字段，构造查询语句来验证。

使用哪一个 AuthenticationHandler，须要在 deployerConfigContext.xml 中设置，默认状况下，CAS 使用一个简单的 username=password 的 AuthenticationHandler，在文件中能够找到以下一行：<bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />，咱们能够将其注释掉，换成咱们但愿的一个 AuthenticationHandler，这里咱们使用QueryDatabaseAuthenticationHandle，以下。

使用 QueryDatabaseAuthenticationHandler

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">

<property name="dataSource" ref="dataSource" />

<property name="sql" value="select password from users where username=? and enabled='Y'" />

</bean>

<!—用到了上面定义的表名和字段-->

 

3. 部署依赖包

在以上配置完成之后，须要拷贝几个依赖的包到 cas 应用下，包括：

• 将 cas-server-support-jdbc-4.0.0.jar 拷贝到 %CATALINA_HOME%/webapps/cas/ WEB-INF/lib 目录。
• 数据库驱动，因为这里使用 mysql，将 mysql-connector-java-5.1.5-bin.jar 拷贝到 %CATALINA_HOME%/webapps/cas/WEB-INF/lib 目录。对于其余数据库，一样将相应数据库驱动程序拷贝到该目录。
• DataStore 依赖于 commons-collections-3.2.jar, commons-dbcp-1.2.1.jar, commons-pool-1.3.jar，须要到 apache 网站的 Commons 项目下载以上 3 个包放进 %CATALINA_HOME%/webapps/cas/WEB-INF/lib 目录。
• 注：目录下给的cas.war里面已经包含了简单的jdbc配置，而且已经包含须要的jar包，配置人员配置时须要留意，参考修改配置。原war包能够从cas-server-4.0.0-release.zip下cas-server-4.0/ modules/ cas-server-webapp-4.0.0.war得到。

2.4 扩展 CAS Server 界面

Demo先只应用cas server提供的默认登录等页面，如后续须要修改相关页面，须要修改对应的view页面， 须要从新部署war包，CAS 的页面采用 Spring 框架编写（页面是Spring MVC），对于不熟悉 Spring 的开发者，在修改以前须要熟悉该框架。

参考连接：

http://www.cnblogs.com/vhua/p/cas_2.html

http://www.cnblogs.com/vhua/p/cas_3.html

3. 部署Spring Security应用

3.1准备工做

包括2.1的基本准备相关

spring-security-2.0.3.zip

cas-client-core-3.1.3.jar

重点：向CAS Server部署人员索取server.crt证书。而后导入该证书，这样CAS Server和Cas Client才能经过“握手”验证。

参考：

keytool -import -alias tomcat-cas-server -file "%JAVA_HOME%/jre/lib/security/server.crt" -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

（注释：将server.crt导入jre的可信任证书仓库。注意，安装JDK是有两个jre目录，一个在jdk底下，一个是独立的jre，这里的目录必须同Tomcat使用的jre目录一致，不然后面Tomcat的HTTPS通信就找不到证书了）

3.2开始部署Spring Security

3.2.1 开场简单介绍

单点登陆的目的是为了让多个相关联的应用使用相同的登陆过程，本文构造 2个简单的应用，来说解如何部署spring-security & cas客户端子系统，分别以 springsecurity_cas_sample 和 springsecurity_cas_sample_brother 来做为示例，它结构相同，这 2 个应用使用同一套登陆信息，而且只有登陆过的用户才能访问。任何人均可以访问首页面， secure和extreme页面须要登录验证，一旦通过验证，两个系统之间无须再次登录验证。经过配置，实现单点登陆，即只需登陆一次就能够访问这两个应用。

下图为springsecurity_cas_sample的结构，springsecurity_cas_sample_brother与之相同。

3.2.2配置 CAS Filter

准备好springsecurity_cas_sample和 springsecurity_cas_sample_brother事后，分别部署在 B 和 C 机器上，这里假设CAS Server机器为A。因为 springsecurity_cas_sample和 springsecurity_cas_sample_brother，B 和 C 彻底等同，咱们以 springsecurity_cas_sample 在 B 机器上的配置作介绍，根据上文的cas server的配置，假设 A 和 B 的域名分别为 domainA为hello.cas.server:8443 和 domainB为hello.cas.server:8080 （因为笔者只有一台机器）。

将 casclient.jar，cas-client-core-3.1.3.jar，spring-security-cas-client-2.0.3.jar，spring-security-core-2.0.3.jar，spring.jar，log4j-1.2.15.jar，mysql-connector-java-5.1.5-bin.jar 并拷贝到 /WEB-INF/lib目录下，修改 web.xml 文件，添加 CAS Filter，以下所示：

<context-param>

              <param-name>contextConfigLocation</param-name>

              <param-value>

/WEB-INF/applicationContext-security.xml

              </param-value>

       </context-param>

    <context-param>

        <param-name>log4jConfigLocation</param-name>

        <param-value>/WEB-INF/classes/log4j.properties</param-value>

    </context-param>

       <context-param>

        <param-name>log4jExposeWebAppRoot</param-name>

        <param-value>false</param-value>

    </context-param>

       <filter>

          <filter-name>CAS Single Sign Out Filter</filter-name>

          <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

       </filter>

    <filter>

        <filter-name>springSecurityFilterChain</filter-name>

        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

    </filter>

       <filter-mapping>

          <filter-name>CAS Single Sign Out Filter</filter-name>

          <url-pattern>/*</url-pattern>

       </filter-mapping>

    <filter-mapping>

      <filter-name>springSecurityFilterChain</filter-name>

      <url-pattern>/*</url-pattern>

    </filter-mapping>

       <!--

         - Loads the root application context of this web app at startup.

         - The application context is then available via

         - WebApplicationContextUtils.getWebApplicationContext(servletContext).

    -->

       <listener>

              <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>

       </listener>

       <listener>

              <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>

       </listener>

    <listener>

        <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>

    </listener>   

    <!--

         - Publishes events for session creation and destruction through the application

         - context. Optional unless concurrent session control is being used.

      -->

    <listener>

      <listener-class>org.springframework.security.ui.session.HttpSessionEventPublisher</listener-class>

    </listener>

配置实例

Web.xml中，Spring-Security 的applicationContext-security.xml配置以下：

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"

xmlns:sec="http://www.springframework.org/schema/security"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd

                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.xsd">

    <!--xmlns:sec="http://www.springframework.org/schema/security" -->

    <!--定义security 的命名空间是sec-->

<sec:http entry-point-ref="casProcessingFilterEntryPoint">

<sec:intercept-url pattern="/secure/extreme/**" access="ROLE_SUPERVISOR" />

<sec:intercept-url pattern="/secure/**" access="ROLE_USER" />

<sec:logout logout-success-url="/cas-logout.jsp"/>

</sec:http>

    <!--定义secure受保护页，和访问角色，具体用户角色定义在上文的jdbc中有介绍。 -->

<sec:authentication-manager alias="authenticationManager"/>

<bean id="casProcessingFilter" class="org.springframework.security.ui.cas.CasProcessingFilter">

<sec:custom-filter after="CAS_PROCESSING_FILTER"/>

<property name="authenticationManager" ref="authenticationManager"/>

<property name="authenticationFailureUrl" value="/casfailed.jsp"/>

<property name="defaultTargetUrl" value="/"/>

</bean>

<!--authenticationFailureUrl登录失败时转向的页面

defaultTargetUrl登录成功时转向的页面  -->

<bean id="casProcessingFilterEntryPoint" class="org.springframework.security.ui.cas.CasProcessingFilterEntryPoint">

<property name="loginUrl" value="https://hello.cas.server:8443/cas/login"/>

<property name="serviceProperties" ref="serviceProperties"/>

</bean>

    <!-- loginUrl定义CAS server登录页面,A的地址-->

<bean id="casAuthenticationProvider" class="org.springframework.security.providers.cas.CasAuthenticationProvider">

<sec:custom-authentication-provider />

<property name="userDetailsService" ref="userService"/>

<property name="serviceProperties" ref="serviceProperties" />

<property name="ticketValidator">

<bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">

<constructor-arg index="0" value="https://hello.cas.server:8443/cas" />

</bean>

</property>

<property name="key" value="an_id_for_this_auth_provider_only"/>

</bean>

<bean id="proxyGrantingTicketStorage" class="org.jasig.cas.client.proxy.ProxyGrantingTicketStorageImpl" />

<bean id="serviceProperties" class="org.springframework.security.ui.cas.ServiceProperties">

<property name="service" value="http://hello.cas.server:8080/springsecurity_cas_sample/j_spring_cas_security_check"/>

<property name="sendRenew" value="false"/>

</bean>

    <!-- service定义子系统server地址,B的地址-->

     <sec:jdbc-user-service data-source-ref="dataSource" id="userService"

     users-by-username-query="select myusername,myauthority,1 from authorities_sub1 where myusername=?"

     authorities-by-username-query="select myusername,myauthority from authorities_sub1 where myusername=?"

     />

<!-- service定义子系统的权限表，必须包含用户名字段和权限字段，权限字段的值必须以ROLE_开头，应用的数据库在后面(dataSource).

web配置实例

举例：

CREATE TABLE `authorities_sub1` (

  `myusername` varchar(50) NOT NULL,

  `myauthority` varchar(50) NOT NULL

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

insert into authorities_sub1 values('marry', 'ROLE_USER');

insert into authorities_sub1 values('jim', 'ROLE_SUPERVISOR');

insert into authorities_sub1 values('jim', 'ROLE_USER');

-->

     <!—采用jdbc方式得到用户权限，这里默认管理的用户和权限表为上文jdbc配置的表-->

<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">

<property name="driverClassName" value="com.mysql.jdbc.Driver"/>

<property name="url" value="jdbc:mysql://127.0.0.1:3306/subdb"/>

<property name="username" value="root"/>

<property name="password" value="12345"/>

</bean>

<!-- service定义子经过jdbc链接数据库，链接自定义须要链接的数据库，用户名，密码-->  

</beans>

在上面全部配置结束事后，分别在 A， B， C上启动tomcat(因为笔者只有一台机器，故一次启动)， springsecurity_cas_sample 和 springsecurity_cas_sample_brother，按照下面步骤来访问 springsecurity_cas_sample和 springsecurity_cas_sample_brother：

1. 打开浏览器

访问 http://hello.cas.server:8080/springsecurity_cas_sample/ ，如图所示：

2. 点击Secure page连接

浏览器会弹出安全提示，接受后即转到 CAS 的登陆页面，如图所示：

3. 登陆成功后

再重定向到 springsecurity_cas_sample 的 Secure page 页面，如图 所示：

4. 再在同一个浏览器中

点击 springsecurity_cas_sample_brother/secure/index.jsp连接 ，系统再也不提示用户登陆，而直接出现如图所示的页面，而且显示在 springsecurity_cas_sample 中已经登陆过的用户。

5. 反之先登录springsecurity_cas_sample_brother

再登录springsecurity_cas_sample效果同样。

springsecurity_cas_sample和springsecurity_cas_sample_brother代码程序在svn上

svn://192.168.0.5/research/trunk/SSO/springsecurity_cas_sample

svn://192.168.0.5/research/trunk/SSO/springsecurity_cas_sample_brother

3.3 Spring-Security子系统API

为辅助开发，提供api以下，SSOUtil.java

/******************************************************************/

/**

* 得到当前登陆用户名 （推荐）

* @param

* @return 当前用户名

* @throws Exception

*/

public static String getCurrentUserName();

/******************************************************************/

/**

* 得到当前登陆用户名

* @param request

* @return 当前用户名

* @throws Exception

*/

public static String getCurrentUserName(HttpServletRequest request);

/******************************************************************/

/**

* 得到当前登陆用户拥有的全部role（推荐）

* @param

* @return 角色数组

* @throws Exception

*/

public static String[] getCurrentUserRoles();

/******************************************************************/

/**

* 得到当前登陆用户拥有的全部role

* @param request

* @return 角色数组

* @throws Exception

*/

public static String[] getCurrentUserRoles(HttpServletRequest request);

/******************************************************************/

/**

* 判断当前登陆用户的角色是不是指定的role

* @param request

* @param role

* @return boolean

* @throws Exception

*/

public static boolean isCurrentUserRole(HttpServletRequest request, String role)

实例代码

结束语

本文介绍了 CAS 单点登陆解决方案的原理，并结合实例讲解了在 Tomcat 中使用 CAS & Spring Security的配置、部署方法以及效果。CAS 是做为开源单点登陆解决方案的一个不错选择，更多的使用细节能够参考 CAS 官方网站。