cas实现单点登陆、登出(java和PHP客户端)

近项目中须要作单点登陆，客户端包含java和php，java有几个应用程序，php是discuz+supesite+ucenter，需

 

要这几个客户端都要能单点登陆和登出，在网上找了许多相关资料，今天终于配置成功，步骤以下：

 

一、cas服务端：下载地址： http://downloads.jasig.org/cas/ ，cas的服务端和客户端有许多版本，最新版本和老版本

 

有很大的区别，目前服务端最新版本为：cas-server-3.4.4-release.zip

 

解压cas-server-3.4.4-release.zip将modules目录下的cas-server-webapp-3.4.4.war更名称为cas.war复制到

 

tomcat的webapps下，启动tomcat，访问： http://localhost:8080/cas/login 就能够看到登陆界面了：

cas服务端默认采用的是 用户名=密码的验证，而且采用的是https验证，须要给tomact配置证书，本系统没有采用https验证，若采用https验证可参考：

 

http://blog.csdn.net/haydenwang8287/archive/2010/07/26/5765941.aspx 。

 

1.一、若不采用https验证，服务器端须要配置

一、cas\WEB-INF\deployerConfigContext.xml

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
p:httpClient-ref="httpClient"/>

 

 增长参数p:requireSecure="false"，是否须要安全验证，即HTTPS，false为不采用，加上去以后以下：

 

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
 p:httpClient-ref="httpClient"  p:requireSecure="false"/>

 

二、cas\WEB-INF\spring-configuration\

ticketGrantingTicketCookieGenerator.xml

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"

      p:cookieSecure="true"

      p:cookieMaxAge="-1"

      p:cookieName="CASTGC"

      p:cookiePath="/cas" />

 

参数p:cookieSecure="true"，同理为HTTPS验证相关，TRUE为采用HTTPS验证，FALSE为不采用https验证。

参数p:cookieMaxAge="-1"，简单说是COOKIE的最大生命 周期，-1为无生命周期，即只在当前打开的IE窗口有效，IE关闭或从新打开其它窗口，仍会要求验证。能够根据须要修改成大于0的数字，好比3600等， 意思是在3600秒内，打开任意IE窗口，都不须要验证。

 

1.二、服务器端退出访问：http://localhost:8080/cas/logout,

 

 

若但愿退出后能返回则须要配置

服务端cas-servlet.xml配置

<bean id="logoutController" class="org.jasig.cas.web.LogoutController" ... .../>

增长属性 p:followServiceRedirects="true"

 

退出连接为： http://localhost:8080/cas/logout?service=http://localhost:8080/Casclient/index.jsp

 

1.三、更改服务器端验证方式，采用数据库验证：

修改配置文件deployerConfigContext.xml，加dbcp链接池：（以oracle为例）

 

<bean id="casDataSource" class="org.apache.commons.dbcp.BasicDataSource">
     <property name="driverClassName">
          <value>oracle.jdbc.driver.OracleDriver</value>
     </property>
     <property name="url">
          <value>jdbc:oracle:thin:@192.168.18.26:1521:orcl</value>
     </property>
     <property name="username">
          <value>test</value>
     </property>
     <property name="password">
          <value>test</value>
     </property>
   </bean>

 

须要的jar包有：（见附件：cas-server-support-jdbc-3.4.4.jar，commons-dbcp-1.2.1.jar，commons-pool-1.3.jar，ojdbc14_g.jar）

 

配置加密方式，cas内置的有MD5加密，也能够写本身的加密类，实现org.jasig.cas.authentication.handler.PasswordEncoder接口便可：

   <bean id="passwordEncoder" 
    class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire="byName">     
    <constructor-arg value="MD5"/> 
   </bean>

 

注释掉默认的验证方式，采用数据库查询验证：

<property name="authenticationHandlers">
     <list>
     <!----注释掉这里的默认验证方式，采用如下验证QueryDatabaseAuthenticationHandler-->
    <!--
    <bean
     class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" /> -->

 

     <bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
      <property name="dataSource" ref="casDataSource" />
      <property name="sql"
         value="select password from userinfo where lower(username) = lower(?)" />
      <property  name="passwordEncoder"  ref="passwordEncoder"/>
     </bean>
   </list>
  </property>

 

---------------到这里cas服务端的配置就完成了。

 

 

二、java客户端配置，下载客户端： http://downloads.jasig.org/cas-clients/ ，目前最新版本为：cas-client-3.2.0

 

将modules下的jar复制到java客户端Casclient1的lib下，在web.xml中配置过滤器，配置以下（详情见附件）：

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4"
 xmlns="http://java.sun.com/xml/ns/j2ee"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
 xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee
 http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
 
 
 <!-- 用于单点退出，该过滤器用于实现单点登出功能，通知其余应用单点登出-->
 <listener>
         <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
 </listener>
 <!-- 该过滤器用于实现单点登出功能，可选配置。 -->
 <filter>
         <filter-name>CAS Single Sign Out Filter</filter-name>
         <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
 </filter>
 <filter-mapping>
         <filter-name>CAS Single Sign Out Filter</filter-name>
         <url-pattern>/*</url-pattern>
 </filter-mapping>
 
 <!-- 该过滤器负责用户的认证工做，必须启用它 -->
 <filter>
         <filter-name>CASFilter</filter-name>
         <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
         <init-param>
                 <param-name>casServerLoginUrl</param-name>
                 <param-value>http://192.168.18.8:8080/cas/login</param-value>
                 <!--这里的server是服务端的IP-->
         </init-param>
         <init-param>
                 <param-name>serverName</param-name>
                 <param-value>http://192.168.18.8:8989</param-value>
         </init-param>
 </filter>
 <filter-mapping>
         <filter-name>CASFilter</filter-name>
         <url-pattern>/*</url-pattern>
 </filter-mapping>
 
 <!-- 该过滤器负责对Ticket的校验工做，必须启用它 -->
 <filter>
         <filter-name>CAS Validation Filter</filter-name>
         <filter-class>
                 org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
         <init-param>
                 <param-name>casServerUrlPrefix</param-name>
                 <param-value>http://192.168.18.8:8080/cas</param-value>
         </init-param>
         <init-param>
                 <param-name>serverName</param-name>
                 <param-value>http://192.168.18.8:8989</param-value>
         </init-param>
 </filter>
 <filter-mapping>
         <filter-name>CAS Validation Filter</filter-name>
         <url-pattern>/*</url-pattern>
 </filter-mapping>
 
 <!--
         该过滤器负责实现HttpServletRequest请求的包裹，
         好比容许开发者经过HttpServletRequest的getRemoteUser()方法得到SSO登陆用户的登陆名，可选配置。
 -->
 <filter>
         <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
         <filter-class>
                 org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
 </filter>
 <filter-mapping>
         <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
         <url-pattern>/*</url-pattern>
 </filter-mapping>
<filter>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <url-pattern>/*</url-pattern>
</filter-mapping>
 
 
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
</web-app>

页面为：

<%
AttributePrincipal principal = (AttributePrincipal)request.getUserPrincipal();   
String username = principal.getName();
%>
<br/>----------------------------------------------------------<br/>
<h1>登陆成功，这是客户端1啊</h1><br/>
用户名：<%=username %><br/>
<a href=" http://localhost:8989/Casclient2/index.jsp">进入客户端2</a><br/>

<a href=" http://localhost:8080/cas/logout?service=http://localhost:8989/Casclient1/index.jsp">退出</a><br/>

 

-----------到这里java客户端配置成功，发布到tomcat，复制Casclient1更名为Casclient2,启动tomcat，

 

访问Casclient1，跳转到登陆页面，登陆成功后成功转向登陆成功页面，这时访问Casclient2发现不须要登陆即显示登陆成功页面，java单点登陆成功。

 

 

三、配置php客户端，下载php客户端：http://downloads.jasig.org/cas-clients/php/ ，目前最新版本为：CAS-1.2.0RC2

 

新建php工程：Phpcasclient1,将CAS文件夹和CAS.php复制到工程中，修改CAS/client.php,将其中的https改成http，将docs/examples/example_simple.php

 

复制到工程中，修改以下：

<?php

//
// phpCAS simple client
//

// import phpCAS lib
include_once('CAS.php');

phpCAS::setDebug();

// initialize phpCAS
phpCAS::client(CAS_VERSION_2_0,'192.168.18.8',8080,'cas');

// no SSL validation for the CAS server
phpCAS::setNoCasServerValidation();

// force CAS authentication
phpCAS::forceAuthentication();

// at this step, the user has been authenticated by the CAS server
// and the user's login name can be read with phpCAS::getUser().

// logout if desired
if (isset($_REQUEST['logout'])) {

 

 $param=array("service"=>"http://localhost/Phpcasclient1/example_simple.php");//退出登陆后返回

 phpCAS::logout($param);

}

// for this test, simply print that the authentication was successfull
?>
<html>
  <head>
    <title>phpCAS simple client</title>
  </head>
  <body>
    <h1>Successfull Authentication!这是客户端1</h1>
    <p>the user's login is <b><?php echo phpCAS::getUser(); ?></b>.</p>
    <p>phpCAS version is <b><?php echo phpCAS::getVersion(); ?></b>.</p>
     <p><a href=" http://192.168.18.8:8989/Casclient1/index.jsp ">去java客户端1</a></p>
      <p><a href="?logout=">退出</a></p>
  </body>
</html>

 

php配置须要开启php_curl,能够复制Phpcasclient1为Phpcasclient2

 

访问：http://localhost/Phpcasclient1/example_simple.php,跳转到登陆页面，登陆成功后访问Phpcasclient2，不须要登陆，

 

php单点登陆成功，这时再访问java客户端发现也不须要登陆，php和java应用之间单点登陆成功。

 

注：php的phpCAS::client(CAS_VERSION_2_0,'192.168.18.8',8080,'cas');地址须要和java的web.xml中的cas服务器地址一致，我开始一个写的ip：192.168.18.8，一个写的localhost，

php和java老是不能同步登陆，郁闷了很久

 

----------------到这里java和php的客户端已经配置完成，如今你会发现php和java之间不能单点登出，php端退出java客户端也退出，反之java退出可是php却没有同步退出

 

这里须要作一个配置，在

phpCAS::setNoCasServerValidation();

// force CAS authentication
phpCAS::forceAuthentication();

这里加上

 

phpCAS::setNoCasServerValidation();

// force CAS authentication

phpCAS::handleLogoutRequests();  这里会检测服务器端java退出的通知，就能实现php和java间同步登出了。

phpCAS::forceAuthentication();

 

 

至于discuz+supesite的单点登陆，再了解了php单点登陆的原理后就须要改造discuz+supesite的登陆代码了，discuz的为logging.php

 

supersite的为batch.login.php，俺是作java开发的，对php不是很熟悉，因此改造的以为不是很靠谱，大体是先让discuz单点登陆，获取用户名，根据用户

 

获取数据库中的密码再交给discuz系统本身的登陆系统登陆。discuz是采用cookie验证的，因此在java端退出后，discuz不会退出。

 

若谁有改造很成功的能够交流下。

 

参考网址：

http://blog.csdn.net/DL88250/archive/2008/08/20/2799522.aspx

http://www.wsria.com/archives/1349

http://tonrenyuye.blog.163.com/blog/static/30012576200922925820471/

http://www.discuz.net/thread-1416206-1-1.html

了解更多请移步路人甲技术交流http://www.walkerjava.com期待您的加入