Cas项目实践

最新推荐文章于 2024-02-19 17:49:52 发布
最新推荐文章于 2024-02-19 17:49:52 发布
阅读量1.2k 收藏
点赞数
分类专栏: Java 文章标签: Cas 单点登录 Cas Server 部署 Cas Client 配置 Cas 单点登出 Cas安全配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/crazystone4/article/details/18038601
版权

Cas 实现单点登录的实际应用


根据实际项目开发过程对Cas单点登录做了梳理,在吸收了前辈们的宝贵经验的基础上记录全套开发过程,如下


一、CAS版本
     Cas Server 3.5.2
     Cas Client   3.2.1


二、Cas Server 部署
     下载完整War包,可以直接部署到tomcat的webapps目录下,不做任何修改即刻成功,我部署的路径是 localhost:8080/casweb3.5.2,浏览器访问出现登录页面,默认输入任意同样的登录名和密码即刻登录成功


1、修改登录页面:
         一般来说系统实际使用时都不会直接已这个登录页面提供个用户使用,多少都会以实际情况作修改:
          cas统一认证的登陆页面位于:cas目录/WEB-INF/view/jsp/default 文件夹里,其中ui/casLoginView.jsp为登陆页面
          首先我们复制一份default文件夹 重命名为myview
          然后复制一份 /WEB-INF/classes/default_views.properties  命名为default_views_my.properties 打开default_views_my.properties 修改登陆页面的路径为我们复制的myview 文件夹(casLoginView.url=/WEB-INF/view/jsp/myview/ui/casLoginView.jsp)
          修改/WEB-INF/cas.properties 中 cas.viewResolver.basename =default_views_my
         到这一步我们只是将登陆页面拷贝了一份然后指向这份拷贝,接下来我们就可以随意修改我们拷贝的页面,这样做的目的是如果以后想还原回来比较方便,只需要修改引用就行,  页面修改可以搜索前辈的样例;
2、修改验证方式:
          简单的相同用户名密码的验证在实际应用中肯定是要不换掉的,下面就修改成基本的数据库验证
          修改WEN-INF/deployerConfigContext.xml
          搜索<bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />,将其注释掉
          这段是CAS默认的登录方式,即用户名和密码相同即可通过认证。我们现在需要改造它使之可以通过数据库查询的用户名和密码进行验证。

          其他是有这样一个数据库(casserver)一张数据表(tsys_user)

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"> 
      <property name="sql" value="select password from tsys_user where username=? " /> 
      <property name="dataSource" ref="dataSource" /> 
</bean>

dataSource配置,位置不要配置错了,不要直接配置bean id="authenticationManager" 这个里面,不然会加载出错,调试时就遇到这样情况 
<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
             <property name="driverClassName">
                  <value>com.microsoft.sqlserver.jdbc.SQLServerDriver</value>
             </property>
             <property name="url">
                  <value>jdbc:sqlserver://localhost:1435; DatabaseName=casserver</value>
             </property>
             <property name="username">
                <value>sa</value>
           </property>
           <property name="password">
                <value>sa</value>
           </property>          
</bean>
这样做已基本满足大部分业务的需求,但如果遇到一些特殊的需求,如要求登录支持用户名、邮箱地址 或者需要自定义的加密验证等
自定义一个验证Handler,继承AbstractJdbcUsernamePasswordAuthenticationHandler.java. 
public class AlQueryDatabaseAuthenticationHandler extends AbstractJdbcUsernamePasswordAuthenticationHandler  {

    //@NotNull
    private String sql;

    protected final boolean authenticateUsernamePasswordInternal(final UsernamePasswordCredentials credentials) throws AuthenticationException {
   
        final String id = getPrincipalNameTransformer().transform(credentials.getUsername());
        final String password = credentials.getPassword();
       
        try {
           
            final String dbPassword = getJdbcTemplate().queryForObject(this.sql, String.class, id);
           
            System.out.print("Username:" + id);
            System.out.print("dbPassword:" + dbPassword);
           
            return MD5.verifyPassword(MD5.getMD5ofStr(password)+id, dbPassword);
           
        } catch (final IncorrectResultSizeDataAccessException e) {
            return false;
        }
    }

    /**
     * @param sql The sql to set.
     */
    public void setSql(final String sql) {
        this.sql = sql;
    }
}
修改 修改WEN-INF/deployerConfigContext.xml 配置 
<bean class="com.aolong.cas.authentication.handler.AlQueryDatabaseAuthenticationHandler">
           <property name="sql" value="select password from tsys_user where loginName=? " />  
           <property name="dataSource" ref="dataSource" />  
</bean>

二、Cas Client 配置
客户端的jar,如cas-client-core-3.2.1.jar引入到web应用程序的classpath中
     配置web.xml文件, 主要是添加过滤器拦截通信, 下面的实例代码, 假设web应用程序的端口是9988
1. web.xml 配置 
<!-- 与CAS Single Sign Out Filter配合,注销登录信息  -->   
     <listener>  
          <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
     </listener>  
     
     <!-- CAS Server 通知 CAS Client,删除session,注销登录信息  -->  
    <filter>   
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
     </filter>   
     <filter-mapping>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
     </filter-mapping>  
     
    <!-- 登录认证,未登录用户导向CAS Server进行认证 -->  
    <filter>   
         <filter-name>CAS Filter</filter-name>  
         <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
         <!--<filter-class>com.aolong.eip.portal.sys.servlet.RemoteAuthenticationFilter</filter-class>
         <init-param>    
            <param-name>localLoginUrl</param-name>  
            <param-value>http://localhost:9988/login.jsp</param-value>  
        </init-param>-->
        <init-param>  
            <param-name>casServerLoginUrl</param-name>  
            <param-value>http://localhost:8080/casweb3.5.2/login</param-value>  
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>http://localhost:9988</param-value>  
        </init-param>  
     </filter>   
     <filter-mapping>  
        <filter-name>CAS Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
     </filter-mapping>   
  
     <!-- CAS Client向CAS Server进行ticket验证 -->  
    <filter>    
        <filter-name>CAS Validation Filter</filter-name>  
        <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
        <init-param>  
            <param-name>casServerUrlPrefix</param-name>  
            <param-value>http://localhost:8080/casweb3.5.2</param-value>  
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>http://localhost:9988</param-value>  
         </init-param>  
    </filter>  
    <filter-mapping>  
         <filter-name>CAS Validation Filter</filter-name>  
         <url-pattern>/*</url-pattern>  
    </filter-mapping>  
      
    <!-- 封装request, 支持getUserPrincipal等方法-->  
    <filter>   
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
      
    <!-- 存放Assertion到ThreadLocal中   -->  
    <filter>   
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
     </filter>   
    <filter-mapping>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
     </filter-mapping>  
     
    <!-- 自定义过滤器,单点登录成功后,写入自己的Session   -->  
     <filter>  
        <display-name>casSetUserAdapterFilter</display-name>  
        <filter-name>casSetUserAdapterFilter</filter-name>  
        <filter-class>com.aolong.eip.portal.sys.servlet.CasSetUserAdapterFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>casSetUserAdapterFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>

注意这些配置应该尽量放在其他过滤器前面,比如Struts的配置, 如果顺序搞错,它的过滤器想不会起作用,这一点是容易被忽略的

自定义的过滤器代码:

public class CasSetUserAdapterFilter implements Filter {

    @Override
    public void init(FilterConfig paramFilterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest paramServletRequest,
            ServletResponse paramServletResponse, FilterChain paramFilterChain)
            throws IOException, ServletException {
        
        HttpServletRequest httpRequest = (HttpServletRequest) paramServletRequest;  
        HttpServletResponse httpResponse = (HttpServletResponse) paramServletResponse;  
        HttpSession session = httpRequest.getSession();
        
        //_const_cas_assertion_是CAS中存放登录用户名的session标志  
        Object object = session.getAttribute("_const_cas_assertion_");  
        Object userId  = session.getAttribute(SessionUtils.SKEY_USERID);

        if (object != null && ((userId == null) || ("".equals(userId.toString())))) {  
            
            Assertion assertion = (Assertion) object;  
            String loginName = assertion.getPrincipal().getName();  
            
            ILoginService loginService = (ILoginService) SpringContextUtil.getBean("loginService");
            
            loginService.ssoLogin(loginName, httpRequest, httpResponse);
            
            if (loginPage >= 0)
            {
                session.setAttribute(SessionUtils.SKEY_LOGINPAGE, this.loginPage);
            }
        }  
        paramFilterChain.doFilter(paramServletRequest, paramServletResponse);  
    }

    protected void setLoginPage(int iLoginPage)
    {
        this.loginPage = iLoginPage;
    }
    
    @Override
    public void destroy() {

    }

    private int loginPage = -1;
    
}


三、安全配置

通过以上的配置基本实现Cas的功能, 但是至此会发现,登录成功后再访问其客户端时又要需要再重新登录
两个CAS Client 应用本身是没有问题的,都可以单独认证。问题还是出现在CAS Server上,因为即使不附带service参数进行Login,在CAS Server登录后,再次输入CAS Server Login的地址也是出现输入密码界面,而不是应该的直接显示已登录的界面 ,应该是登录成功后的TGC根本没有被加到浏览器上,问题在于:由于客户没有SSL的证书,暴露的是CAS Server的HTTP Login页面。而CAS Server默认会给TGC的Cookie加上secure选项,就是只有在SSL下CAS Server下一次才能获得这个Cookie,所以用户登录后再次访问CAS Server的HTTP页面,服务器获取不到TGC,认为这个用户还没有登录,就跳转到登录界面了
1、解决的办法当然是启用HTTPS的Login页面 - 当然,我们的客户没有证书,自签名的证书在浏览器默认设置还会弹出警告,所以不能用这个办法;或者修改CAS Server的配置
WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml
文件中修改p:cookieSecure属性为false就好了。虽然这个会降低SSO的安全性

2、对于Cas取消Https协议的所有配置如下(其中其他的配置修改我尚未理解其真正的作用):
修改 deployerConfigContext.xml 配置文件,添加 p:requireSecure="false"  属性。 
<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
      p:httpClient-ref="httpClient" p:requireSecure="false"/>
修改 ticketGrantingTicketCookieGenerator.xml 配置文件,p:cookieSecure="true"  改为 p:cookieSecure="false" 
<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
  p:cookieSecure="true"
  p:cookieMaxAge="-1"
  p:cookieName="CASTGC"
  p:cookiePath="/cas" />
修改 warnCookieGenerator.xml 配置文件,p:cookieSecure="true"  改为 p:cookieSecure="false" 
<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
  p:cookieSecure="true"
  p:cookieMaxAge="-1"
  p:cookieName="CASPRIVACY"
  p:cookiePath="/cas" />

四、 单点登出

CAS3.4版本已经很好的支持了单点注销功能

假设环境如下:
 
两个业务系统APP1和APP2
在没有配置单点退出时,效果是这样子的
1:登录APP1,然后经过CAS认证后进入APP1
再访问APP2无需要认证
2:在APP1中连接到cas的logout地址,现象注销成功界面,然后再访问APP1,还是可以进去的,因为APP1将用户的登录票据存入了session。
 
那么实现了单点退出后的效果应该是这样子的:
1:登录APP1,然后经过CAS认证后进入APP1
再访问APP2无需要认证
2:用户在APP1或者APP2点击注销,显示CAS的注销成功页面,然后再访问APP1或者APP2都需要再次认证。

在APP1和APP2的web.xml文件中
CAS Single Sign Out Filter 相关配置就是实现此功能的作用
客户端访问 http://localhost:8080/casweb3.5.2/logout 退出

如果直接访问CAS的logout话,会出现注销成功页面,其实大部分情况下这个页面是没有必要的,更多的需求可能是退出后显示登录页面,并且登录成功后还是会进入到之前的业务系统,那么可以修改cas-servlet.xml文件,在"logoutController"的bean配置中增加属性“followServiceRedirects”,设置为“true”
然后在业务系统的注销连接中加入"service参数",值为业务系统的绝对URL,这样就OK了,如你的业务系统URL为:http://localhost:8080/casClient,那么注销URL就为:http://localhost:8080/cas/logout?service=http://localhost:8080/casClient
天外非
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cas4.0 server的eclipse项目
08-15
【标题】"CAS4.0 Server的Eclipse项目"是一个基于Java开发的身份验证服务系统,专为Web应用程序提供单点登录(Single Sign-On, SSO)...通过深入学习和实践,你可以利用这个项目创建安全、高效的Web应用身份验证系统。
CAS单点实战案例-Tomcat部署cas
Grady的博客
12-15 280
CAS单点实战案例-Tomcat部署cas
SpringBoot整合CAS服务
最新发布
m0_60681411的博客
02-19 1399
本文描述了通过SpringBoot 项目连接CAS Server的完整实践过程。
CASCAS在实际开发中的简单使用
Little Feel的博客
09-16 626
若不太了解cas,可参考之前我总结的cas详解看下,在这篇文章中就简单讲解下cas在实际开发中的使用 【CAS】解释下CASCAS刨析_Little Feel的博客-CSDN博客 实际项目中:若是遇到状态流转的情况,过程a从1更新为2,过程b再由2更新为3,若是过程b更新调用逻辑比a先调用,这个时候就会出现状态问题,直接就会状态先变更为3,然后在变更为2,为了出现上述状况。所以这个时候就会引入CAS的原理:比较并更新。 简单的实现就是update table set status=3 where
CAS实战
chuihuangke7887的博客
03-16 274
本文目录: 一、概述 二、演示环境 三、JDK安装配置 四、安全证书配置 五、部署CAS-Server相关的Tomcat 六、部署CAS-Client相关的Tomcat 七、 测试验证SSO 一、概述 此文的目的就是为了帮助初步接触SSO和CAS ...
CAS服务端入门使用实践
Z-NOTE
08-12 524
CAS 是一个企业多语言单点登录解决方案,支持大量附加身份验证协议和功能,满足身份验证和授权需求的综合平台。
CAS集成demo
11-07
这个"CAS集成demo"是为帮助开发者理解并实践CAS单点登录功能而准备的一个示例项目,包含了代码和详细的部署教程。 ### CAS简介 CAS的核心概念是验证中心和受保护的应用。验证中心负责用户的认证,而受保护的应用则...
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
这个项目不仅展示了SSO的实现,还涵盖了现代Web应用中的许多安全和架构设计实践,对于学习和理解分布式系统中的身份验证和授权机制非常有帮助。通过深入理解每个组件的工作原理和它们之间的协作,开发者可以更好地...
CAS5.3.5 server代码
03-27
3. **构建项目**:使用Maven或Gradle构建项目,生成可运行的CAS服务器WAR文件。 4. **部署服务器**:将生成的WAR文件部署到你喜欢的Servlet容器,如Tomcat或Jetty。 5. **配置CAS**:根据你的需求修改`/conf/cas....
前后端分离集成cas
04-30
在IT行业中,前后端分离是一种常见的开发模式,它将应用程序的前端和后端逻辑分离开来,以提高开发效率和可...通过学习和实践这样的项目,开发者可以加深对前后端分离、安全框架和SSO原理的理解,提高综合开发能力。
利用CAS实现单点登录的完整实例
05-23
利用jasig开源jar包实现单点登录,两个系统可以模拟单点登录,一个系统登录之后,访问另外一个系统,不需要再次登录
CAS基本介绍
03-01
CAS基本介绍.,CAS基本介绍.CAS基本介绍.CAS基本介绍.CAS基本介绍.CAS基本介绍.CAS基本介绍.CAS基本介绍.CAS基本介绍.CAS基本介绍.
单点登录-cas学习项目源码
11-15
cas 原始web.xml配置方式实现单点登录 cas集成spring-security方式实现单点登录
Cas单点登录集成前后端分离项目
weixin_44837750的博客
11-24 6800
文章目录前言一、整合前后端分离遇到的问题二、CAS整合前后端分离项目实战第一步、引入CAS客户端依赖第二步、编写Cas经典拦截器的配置类第三步、编写一个CasController,专门负责Cas的业务第四步、进行完整测试单点退出功能总结 前言     现在由于单点登录的普及,Cas和Oauth2都能完成,最简单的方法是将Cas的依赖导入后,添加上Cas的过滤器,当用户访问系统时就会被拦截,然后就可以重定向到SSO单点登录界面进行单点登录了,登录完成后就会将用户信息.
CAS项目实践
愿今日的一切困难在未来都不值一提
01-19 136
目的:使用单点登录系统统一管理各子系统的用户登录登出,并提供一个统一的集成页面,方便用户在各系统之间的快速切换。 环境:cas-server-3.3.1,cas-client-2.0.11 一:配置服务器端的数字证书     1,生成数字证书          ./keytool -genkey -alias examplecas -keypass changeit -keyalg RS...
CAS项目登录流程介绍(一)
qwtfps的专栏
10-11 3425
CAS项目登录流程介绍 cas是目前比较流行的SSL项目,他对于用户登录认证和用户授权访问资源都是实行了自己的一套协议。 cas的登录行为是用spring-webflow来控制。 首先从登陆的提交表单开始介绍,通过post方法访问“/cas/login”路径,改路径对应着webflow的入口,已配置在spring中。 <bean class="org.springfram
CAS 6.5.5项目初始化搭建运行
weixin_44568951的博客
06-13 1244
cas6.5.5教学
CAS项目部署和基础操作
Gblfy_Blog
03-01 2198
文章目录一、部署cas1. 复制cas.war到webapps2. 登录页面二、CAS服务端配置2.1. 添加用户2.2. 端口修改2.3. 去除https认证 一、部署cas 1. 复制cas.war到webapps 把cas.war放到tomcat的webapps下面启动Tomcat即可 2. 登录页面 二、CAS服务端配置 2.1. 添加用户 找到指定文件 添加一行即可 <b...
CASSSO AuthenticationFilter说明
weixin_33941350的博客
04-20 255
开源的CAS已经很多牛人分析过了,最近在看源码,也总结一下AuthenticationFilter.java主要代码 /** * 这里用到了责任链模式,filterChain里面包含了web.xml里面配置的所有Filter,每次执行filterChain的doFilter()时,会执行下一个Filter的doFilter方法 * 可以查看Applica...
SSO原理与CAS实践:Web单点登录解析
CAS(Central Authentication Service)是 Yale 大学开发的一个开源 SSO 项目,它在 Java 开源社区中广泛应用。CAS 提供了一个简单且安全的实现方式,使得组织能够轻松地集成 SSO 功能到自己的应用程序中。据统计,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值