总是提示内容包括敏感词,浪费时间
参考:http://my.oschina.net/wangzhen9005/blog/665926 http://my.oschina.net/xiaokaceng/blog/181946
SSO(Single Sign On)单点登录,SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将 这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 当用户第一次访问应用系统1的时候,因为还没有登录,会被引导到认证系统中进行登录;根据用户提供的登录信息,认证系统进行身份校验,如果通过校验,应该 返回给用户一个认证的凭据--ticket;用户再访问别的应用的时候就会将这个ticket带上,作为自己认证的凭据,应用系统接受到请求之后会把 ticket送到认证系统进行校验,检查ticket的合法性。如果通过校验,用户就可以在不用再次登录的情况下访问应用系统2和应用系统3
SSO分为 Cookie机制和Session机制两大类,而CAS(Central Authentication Service 中央认证服务) 即是采用Cookie机制
CAS服务部署:
1、下载CAS服务器cas-server-xxx-release.zip http://downloads.jasig.org/cas/
2、解压程序包cas-server-xxx\modules\cas-server-webapp-xxx.war到tomcat\webapps下,并重新命名cas.war 。
访问 http://localhost:8080/cas会提示不安全,cas服务器正常运行需要:创建cas证书库、使web容器(此处使用的tomcat)支持https
1、JDK生成证书(正式环境需购买证书)
keytool -genkey -alias mrl -keyalg RSA -storepass changeit -keystore c:/worksoft/mrl
名称与姓氏:mr.cas 该输入项即为cas服务的访问地址;由于https协议访问cas只能域名访问,故该提示项只能输入域名,不能输入ip。修改本机C:\Windows\System32\drivers\etc\hosts文件做下映射 127.0.0.1 mrl.cas。
ipconfig /flushdns
导出证书 keytool -export -file c:/worksoft/mrl.crt -alias mrl -storepass changeit -keystore c:/worksoft/mrl
JVM导入证书 keytool -import -keystore "C:\Program Files\Java\jdk1.8.0_51\jre\lib\security\cacerts" -file "C:\worksoft\mrl.crt" -alias mrl -storepass changeit
2、使WEB容器支持https
tomcat8.0.33/conf/server.xml
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:/worksoft/mrl" keystorePass="123456" />
tomcat 浏览
https://localhost:8443/cas
https://mrl.cas:8443/cas/login 默认用户密码 webapps\cas\WEB-INF\deployerConfigContext.xml中<entry key="casuser" value="Mellon"/>
CAS登录,使用tomcat自带的webapp examples做示例
再启动一个tomcat(这里使用tomcat6.0)充当第三方应用去访问CAS服务
1、修改tomcat端口,不要设置环境变量CATALINA_HOME,server.xml中 8080》18080 8005》18085 8009》18089
http://localhost:18080/examples/
修改host,http://app1.mrl.casclient:18080/examples/访问成功
2、整合CAS-Client
下载http://maven.outofmemory.cn/org.jasig.cas.client/cas-client-core/3.2.2/
放到\examples\WEB-INF\lib\目录下,
修改examples的 web.xml添加
<!-- ======================== 单点登录开始 ======================== -->
<!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>CAS Filter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>https://mrl.cas:8443/cas/login</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://app1.mrl.casclient:18080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>https://mrl.cas:8443/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://app1.mrl.casclient:18080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--
该过滤器负责实现HttpServletRequest请求的包裹,
比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
-->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--
该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
比如AssertionHolder.getAssertion().getPrincipal().getName()。
-->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- ======================== 单点登录结束 ======================== -->
访问http://app1.mrl.casclient:18080/examples/
报错404,查看tomcat logs发现缺少commons-logging jar包,把jar包拷贝到lib下重启后OK
获取登录的用户名
修改HelloWorldExample.java 添加代码
import org.jasig.cas.client.authentication.AttributePrincipal;
import org.jasig.cas.client.util.AbstractCasFilter;
import org.jasig.cas.client.validation.Assertion;
Assertion assertion=(Assertion) request.getSession().getAttribute(AbstractCasFilter.CONST_CAS_ASSERTION);
if(assertion!=null){
AttributePrincipal principal=assertion.getPrincipal();
if(principal!=null){
out.println("<br>"+principal.getName());
}
}
重新编译,-classpath 引入需要的jar包,
cd C:\worksoft\apache-tomcat-6.0.45
javac -classpath lib/servlet-api.jar;webapps/examples/WEB-INF/lib/cas-client-core-3.2.2.jar webapps/examples/WEB-INF/classes/HelloWorldExample.java
访问http://app1.mrl.casclient:18080/examples/servlets/servlet/HelloWorldExample 获取到用户名
本文使用 cas-server-4.0.0-release.jar cas-client-core-3.2.2.jar
CAS配置数据库进行用户验证
1、拷贝cas-server-support-jdbc-x.x.x.jar和mysql驱动包到cas\WEB-INF\lib目录下
2、createtablecas_user (
idbigintnotnullauto_increment,
emailvarchar(255),
usernamevarchar(255)notnullunique,
namevarchar(255),
passwordvarchar(255),
primarykey(id)
) ENGINE=InnoDB;
//test,098f6bcd4621d373cade4e832627b4f6 http://www.cmd5.com/hash.aspx