(一)单点登录
1.1什么是单点登录
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。
1.2什么是CAS
CAS(Central Authentication Service中央身份认证服务)是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点:
【1】开源的企业级单点登录解决方案。
【2】CAS Server 为需要独立部署的 Web 应用。
【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java、.Net、PHP、Perl、Ruby 等。
从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。
TGT(Ticket Grangting Ticket):TGT是CAS为用户签发的登录票据,存入Session
ST(Service Ticket):ST是CAS为用户签发的访问某一服务的票据,回传给CAS客户端(只使用一次,10秒过期),作为该服务在CAS服务器的唯一标识符。
TGC(Ticket Grangting Cookie):TGC是CAS在浏览器存储用户登录凭证的Cookie
下图是 CAS 最基本的协议过程:
CAS访问流程主要有以下步骤:
1. 访问服务:用户发送请求访问CAS客户端(应用系统)受保护的服务资源。
2. 重定向认证:CAS客户端先判断ST或SessionId如果没有,说明用户还没有进行身份认证,于是,重定向用户请求到CAS服务器进行身份认证,并把用户此次访问的请求URL作为参数(参数名为service)传递给CAS服务器。
3. 用户认证:CAS服务器接收到身份认证请求后转向登录页面,用户提供认证信息后进行身份认证。身份认证成功后,CAS服务器给浏览器返回一个TGC(用户身份信息凭证,用于以后获取ST)。
4. 发放票据:CAS服务器会产生一个随机的ST,然后重定向到CAS客户端。
5. 验证票据:CAS客户端收到ST后,向CAS服务器验证票据ST的合法性,验证通过后,允许客户端访问服务。
6. 传输用户信息:CAS服务器验证票据ST通过后,传输用户认证结果信息给客户端,CAS客户端产生一个Session存储用户登录名。
客户端产生一个Session存储用户登录名。
1.3 CAS服务端部署
CAS服务端其实就是一个war包。在CSDN上不是免费下载的,直接在GIUHUB上下载很慢,我的百度网盘上有免费资源:链接: https://pan.baidu.com/s/1wm-Btl4ljDQLqmQDTQemyQ 提取码: c6bh
cas-server-webapp-4.2.7的war包.war放入tomcat目录下的webapps下。启动tomcat自动解压war包,改名为ROOT。浏览器输入http://localhost:8080/,可看到登录页面:
不要嫌弃这个页面丑,我们后期可以再提升它的颜值。暂时把注意力放在功能实现上。
这里有个固定的用户名和密码:casuser / Mellon。 注意:用户名和密码都没有消除空格,复制粘贴时注意
登录成功后会跳到登录成功的提示页面:
1.4 CAS服务端配置
CAS核心配置文件:/apache-tomcat-8.5.34\webapps\ROOT\WEB-INF\view\jsp\default\uiWEB-INF/cas.properties
1.4.1修改tomcat端口
如果我们不希望用8080端口访问CAS, 可以修改端口,打开tomcat 目录 conf\server.xml找到下面的配置
http端口9090、服务端口:8006、AJP连接端口:8010
修改\apache-tomcat-8.5.34\webapps\ROOT\WEB-INFWEB-INF/cas.properties(第1行)
1.4.2配置用户名与密码
修改WEB-INF/cas.properties(第272行)
1.4.3去除https认证
CAS默认使用的是HTTPS协议,如果使用HTTPS协议需要SSL安全证书(需向特定的机构申请和购买) 。如果对安全要求不高或是在开发测试阶段,可使用HTTP协议。我们这里讲解通过修改配置,让CAS使用HTTP协议
- 修改WEB-INF/cas.properties(第68行)
- 修改WEB-INF/cas.properties(第84行)
-
修改WEB-INF\classes\services\HTTPSandIMAPS-10000001.json 增加“| http”
修改WEB-INF\view\jsp\default\ui\casLoginView.jsp
1.4.4配置域名访问
1.5 CAS客户端入门示例
1.5.1客户端工程1搭建
新建项目,然后切换到cas-test项目,创建casclient01模块(war):通过javatoweb将项目转换成web项目(这是一个插件,要是没有的话可以看我的另外一篇安装出插件的文章)转化成功后,通过刷新maven project才能看到项目
注意:需转化成Web项目
casclient01/pom.xml,配置依赖:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<parent>
<artifactId>cas-test</artifactId>
<groupId>cn.sztb</groupId>
<version>1.0-SNAPSHOT</version>
</parent>
<modelVersion>4.0.0</modelVersion>
<artifactId>casclient01</artifactId>
<packaging>war</packaging>
<name>casclient01</name>
<!-- 配置依赖关系 -->
<dependencies>
<!-- cas-client-core -->
<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.4.1</version>
</dependency>
<!-- servlet-api、jsp-api、el-api-->
<dependency>
<groupId>org.apache.tomcat.embed</groupId>
<artifactId>tomcat-embed-jasper</artifactId>
<version>8.5.16</version>
<scope>provided</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>9090</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
</project>
CAS客户端四个核心过滤器:
SingleSignOutFilter:单点退出过滤器(用户退出)
AuthenticationFilter:身份认证过滤器(登录才能访问的资源)
Cas20ProxyReceivingTicketValidationFilter:票据验证过滤器(验证ST)
HttpServletRequestWrapperFilter:请求包裹过滤器(获取登录用户名)
配置casclient01/src/main/webapp/WEB-INF/web.xml: