Client端配置
web.xml配置
client 的配置非常简单,依葫芦画瓢随便网上copy一份即可,改一下配置。这里介绍没有跟spring结合的做法,依赖2个jar包: cas-client-core-3.2.1.jar, commons-logging-1.2.jar。
(1) web.xml配置如下:
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
id="WebApp_ID" version="3.0">
<display-name>CAS CLIENT DEMO</display-name>
<!--(1) logout 定义开始 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
<listener>
<listener-class>
org.jasig.cas.client.session.SingleSignOutHttpSessionListener
</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--(2) login 定义开始 该过滤器负责用户的认证工作,必须启用它 -->
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<!-- 中心服务器-->
<param-value>http://localhost:8080/casserver/login</param-value>
</init-param>
<!-- 这是客户机的IP -->
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--(3) 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
</filter-class>
<!-- 中心服务器-->
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:8080/casserver</param-value>
</init-param>
<!-- 这是客户机的IP -->
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--(4) 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过
HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter
</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--(5) 该过滤器负责把ticket验证后产生的Assertion放入ThreadLocal中,
以便 不能访问web层的资源使用。该过滤器可以使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- ======================== 单点登录结束 ======================== -->
</web-app>
(2) 获取登陆的用户信息
其实这些信息都是上面的filter 塞进去的,有兴趣的可以下载源码打开看看,通过如下3个方式都可以得到用户信息:
(1)登陆账号: request.getRemoteUser();
(2)AttributePrincipal principal = (AttributePrincipal)request.getUserPrincipal();
登陆账号:principal.getName();
(3)Object object =request.getSession().getAttribute("_const_cas_assertion_");
Assertion assertion =(Assertion)object;
登陆账号:assertion.getPrincipal().getName();
(3) 更细粒度的权限控制
比如该用户有没有某某模块的xx功能等等,扩展server端是可以让他返回更多的信息,但是这个做法个人觉得不好。
作为一个认证中心,他为各式各样的的子系统服务,而每个系统的权限控制和设计是五花八门的,如果都放在认证中心那将会是个噩梦,根本无从适应,所以server端只需要存储最基本的信息就够了,甚至不需要保存,server端里面再调用其他服务来判断是否认证通过。
client需要做另外的权限控制可以在本系统设计一个权限控制系统,比如传统的基于角色的权限控制。那么结合我们的单点登录,可以加个filter,在登陆后根据用户名把该用户的角色权限等查出来放到本机的session,以便本系统做权限控制之用。