sso 单点登录的配置

最新推荐文章于 2024-07-07 13:09:05 发布
最新推荐文章于 2024-07-07 13:09:05 发布
阅读量8.2k 收藏 12
点赞数 20
分类专栏: java shiro+sso
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuibruce/article/details/53132234
版权

                                             这一章来讲一下配置单点登录   


首先用到https协议,所以先用jdk自己的keytool工具来生成秘钥,所有输入密码的地方都用changeit  生成证书需要填入一些信息 最好有包含后面用到单点登录服务的域名 不然后面会报错证书中找不到那个域名

1:在d盘新建一个目录用来存放生成的证书文件d:/cas/keys

2:cmd下面进入到java_home 运行keytool -genkey -alias mycas -keyalg RSA -keysize 2048 -keystore d:/cas/keys/mycas.keystore 

3.继续运行keytool -export -file d:/cas/keys/mycas.crt -alias mycas -keystore d:/cas/keys/mycas.keystore

导出证书;

4. keytool -import -keystore d:\Java\jdk1.7.0_60\jre\lib\security\cacerts -file d:/cas/keys/mycas.crt -alias mycas 
其中:d:\Java\jdk1.7.0_60\jre\lib\security\cacerts为客户端JVM的密钥库位置 
如果提示: 
keytool error: java.io.IOException: Keystore was tampered with, or password was incorrect 

删除d:\Java\jdk1.7.0_60\jre\lib\security\cacerts 在输入上述命令

5.配置tomcat服务端:

打开tomcat目录的conf/server.xml文件,8443端处,并设置keystoreFile、keystorePass修改结果如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
     maxThreads="150" scheme="https" secure="true" 
     clientAuth="false" sslProtocol="TLS"   
     keystoreFile="D:/cas/keys/mycas.keystore"  
     keystorePass="生成KEY的密码"  
/>


参数说明:keystoreFile:在第一步创建的key存放位置 keystorePass:创建证书时的密码。 
打开https://localhost:8443/,可以测试

点击“继续浏览此网站(不推荐),现在进入Tomcat目录了

6.cas-server-webapp-4.0.0.war拷贝到D:\apache-tomcat-7.0.54\webapps目录下,改名为cas.war(只是为了方便URL输入),并启动Tomcat, 会自动解压得到cas工程文件夹。 

好了,现在打开浏览器,输入https://localhost:8443/cas/login 进入到cas登录的页面

7.

默认采用的username/password 在cas\WEB-INF下的deployerConfigContext.xml中是这样的:

<bean id="primaryAuthenticationHandler"
          class="org.jasig.cas.authentication.AcceptUsersAuthenticationHandler">
        <property name="users">
            <map>
                <entry key="casuser" value="Mellon"/>
            </map>
        </property>
    </bean>


输入username: casuser password:Mellon 登录成功

8.数据库为sso,里面有一个表t_member 中有username password字段

打开D:\apache-tomcat-7.0.54\webapps\cas\WEB-INF\deployerConfigContext.xml, 
注释掉默认的用户验证,添加JDBC认证,代码如下:

<!--<bean id="primaryAuthenticationHandler"
          class="org.jasig.cas.authentication.AcceptUsersAuthenticationHandler">
        <property name="users">
            <map>
                <entry key="casuser" value="huiquan"/>
            </map>
        </property>
    </bean> -->

	<bean id="dataSource"
	  class="com.mchange.v2.c3p0.ComboPooledDataSource"
	 p:driverClass="com.mysql.jdbc.Driver"p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/sso?useUnicode=true&amp;characterEncoding=UTF-8&amp;zeroDateTimeBehavior=convertToNull"
	  p:user="root"
	  p:password="root" />

<!-- 密码加密方式-->
	<bean id="passwordEncoder"
      class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"
      c:encodingAlgorithm="SHA1"
      p:characterEncoding="UTF-8" />

	  <bean id="dbAuthHandler"
      class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"
      p:dataSource-ref="dataSource"
      p:sql="select password from t_member where username=?" />
	  <!-- p:passwordEncoder-ref="passwordEncoder" --><!-- 暂时不使用密码加密 -->


根据上述配置,我们需要在D:\apache-tomcat-7.0.54\webapps\cas\WEB-INF\lib中加入c3p0-0.9.1.2.jar包、mysql-connector-java-5.1.21.jar包和cas-server-support-jdbc-4.0.0.jar包。 
再修改D:\apache-tomcat-7.0.54\webapps\cas\WEB-INF\deployerConfigContext.xml中authentication manager的配置:

<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">
        <constructor-arg>
            <map>
                
                <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver" />
                <!--<entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" /> -->
				<entry key-ref="dbAuthHandler" value-ref="primaryPrincipalResolver"/>
            </map>
        </constructor-arg>
<property name="authenticationPolicy">
            <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy" />
        </property>
    </bean>


再次运行Tomcat,访问https://localhost:8443/cas/login就能进行数据库验证了。

这里在本地映射一个127.0.0.1 www.ssomain.com  把loalhost换掉 不然完了出问题 这个域名和生成证书用的那个一样

9.CAS Client 配置 

创建两个webgongc sso1 sso2  

本地映射127.0.0.1 www.sso1.com 把下面配置文件中客户端的localhost换掉,sso2也一样 服务器端换成www.ssomain.com 
本文中客户端工程部署在同一个Tomcat中,所以CAS Server和Client的域名都为localhost。
在Client工程WEB-INF/lib下添加cas-client-core-3.2.1.jar包。 

修改web.xml如下:

<!-- ======================== 单点登录/登出 ======================== -->

<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
   <filter-name>CAS Single Sign Out Filter</filter-name>
   <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>

<!-- 该过滤器负责用户的认证工作,必须启用它 -->
<filter>
  <filter-name>CAS Authentication Filter</filter-name>
  <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
  <init-param>
    <param-name>casServerLoginUrl</param-name>
    <param-value>https://localhost:8443/cas/login</param-value>
  </init-param>
  <init-param>
    <param-name>serverName</param-name>
    <param-value>http://localhost:8080</param-value>
  </init-param>
</filter>

<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
    <filter-name>CAS Validation Filter</filter-name>
    <filter-class>org.jasig.cas.client.validation.Cas10TicketValidationFilter</filter-class>
    <init-param>
        <param-name>casServerUrlPrefix</param-name>
        <param-value>https://localhost:8443/cas</param-value>
    </init-param>
    <init-param>
        <param-name>serverName</param-name>
        <param-value>http://localhost:8080</param-value>
    </init-param>
    <init-param>
        <param-name>redirectAfterValidation</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

<!-- 该过滤器负责实现HttpServletRequest请求的包裹,
比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
<filter>
  <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
  <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>

<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
 比如AssertionHolder.getAssertion().getPrincipal().getName()。-->
<filter>
  <filter-name>CAS Assertion Thread Local Filter</filter-name>
  <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>

<filter-mapping>
   <filter-name>CAS Single Sign Out Filter</filter-name>
   <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS Authentication Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS Validation Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS Assertion Thread Local Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
 
<listener>
    <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- ======================== 单点登录/登出结束 ======================== -->


现在运行Client工程,首次访问任一页面就会跳转到https://www.sso1.com:8443/cas/login进行认证。同时,把你的退出链接设置为:https://sso.wsria.com/cas/logout 即可实现单点推出

登录进去默认为这个站点的额index.jsp

退出可以用http://www.ssomain.com:8080/logout?service=http://www.sso1.com:8080


CAS服务端(cas-server)的界面只能在测试的时候用一下,真正系统上线肯定需要定制开发自己的页面,就像网易和CSDN的统一认证平台一样,所有子系统的认证都通过此平台来转接,大家可以根据他们的页面自己定制出适合所属应用或者公司的界面;简单介绍一下吧,复制 cas\WEB-INF\view\jsp\default\ui的一些JSP文件,每一个文件的用途文件名已经区分了,自己修改了替换一下就可以了。 例如: 
登录界面:casLoginView.jsp 
登录成功:casGenericSuccess.jsp 
登出界面:casLogoutView.jsp 



完成前面的步骤,并不能得到我们理想的效果。例如,我们的目标是: 
Client端index页面 -> CAS Server端login页面 -> 认证成功 -> Client端index页面,并显示欢迎信息。 
但由于Client端有自己的登录验证拦截机制,效果却是这样的: 
Client端index页面 -> CAS Server端login页面->认证成功 -> Client端login页面。 
所以,我需要修改Client端的认证拦截/跳转页面。 
前面的步骤以后,我们在Client端的HttpServletRequest中已经可以通过getRemoteUser()方法得到用户名了。 
String username = request.getRemoteUser(); 
再据此修正控制器login页面跳转或拦截器就行了。 

            

最后感谢这两篇博文的作者帮我大忙了:

http://www.itnose.net/detail/6639688.html

http://itindex.net/detail/51110-cas-4.0-%E7%99%BB%E5%BD%95

山药当归枸杞GO
关注
  • 20
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SSO CAS单点登录配置教程
10-25
SSO CAS单点登录配置教程,亲自操作后写的一个配置教程,里面有一个配置好的工程
SSO单点登录配置
YangJuanCMXC的专栏
08-17 353
[code="java"] 将登录信息配置到header.jsp页面上,在每个jsp文件中都引入该页面,如果要登录, 需要经过一定的配置方可正常显示登录信息。 1. 设置本机hosts文件(把本机地址映射为且对登录公共模块的地址进行映射): 本机IP (对应自己项目的域名) ss...
在Java项目中集成单点登录SSO)方案
最新发布
微赚淘客系统开发者博客
07-07 393
单点登录(Single Sign-On,简称SSO)是一种身份认证技术,在多个相关但独立的软件系统中,用户只需登录一次便可访问所有系统。通过Spring Boot和Spring Security,我们可以快速构建安全可靠的SSO解决方案,提升用户体验和系统安全性。在Java项目中,可以使用开源的认证框架,例如Spring Security,来实现SSO。除了基本的用户名密码登录外,还可以集成OAuth2、OpenID Connect等高级身份认证协议,以支持更复杂的认证场景和第三方登录集成。
CAS SSO 配置
BinTime的专栏
03-13 3603
其实网上这样的资料google一下一大把,本来是不想再做重复无谓的东西,但是实在是忍不住的发几句牢骚,写东西是给别人分享经验的,需要好好的去伪存真。软件在不断的升级,用法也会不断的改进,不要一直用老版本的方法在新版本上面使用,不但对别人帮助不大,反而会耽误时间,还不如直接去官网翻英文文档,即便是痛苦些,也比拿到过时的东西好呀,看看网上的实现大部分都是那个2.x和3.x的cas混用,但是这样自己不觉得不合理么,现在JASIG上面根本没有yelu的包,在配置客户端的时候还要配置yelu什么的,不说废话了,把新版
CAS单点登录SSO)服务器配置
随风逐亚的专栏
10-12 671
一、单点登录的概念       单点登录SSO)英文全称Single Sign On,单点登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。      简单的 SSO 的体系中,会有下面三种角色:    1 、 User (多个)    2 、
sso配置
weixin_40101369的博客
12-21 732
环境 centos7 cas5.3.16 LDAP与CAS连接 在src-main-resource和target-cas-classes中修改application.properties ## # CAS Authentication Credentials # #cas.authn.accept.users=user::user cas.authn.ldap[0].ldapUrl=ldap://127.0.0.1:389 cas.authn.ldap[0].useSsl=false cas.authn
Teamcenter11 SSO单点登录配置.docx
04-01
### Teamcenter 11 SSO单点登录配置详解 #### 一、概述 Teamcenter 11 SSO(Single Sign-On)单点登录配置是指在Teamcenter系统中实现用户通过域账号和密码来替代原有的Teamcenter账号及密码的过程。这种配置能够...
SSO 单点登录配置方案.pdf
10-28
SSO(Single Sign-On)单点登录是一种网络身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,无需多次输入凭证。这种技术对于大型企业或组织来说尤其有用,可以提高用户体验,同时减少密码管理的复杂...
SSO 单点登录配置方案.docx
10-28
SSO(Single Sign-On)单点登录是一种网络身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,无需多次输入凭证。这种技术在大型企业或组织中尤其有用,可以提高用户体验,同时减少密码管理的复杂性和...
SSO单点登录配置方案[定义].pdf
10-20
总的来说,SSO单点登录配置是一个涉及身份验证、安全通信、系统集成等多个方面的复杂过程。通过正确配置使用CAS,企业能够构建一个高效、安全的身份验证体系,提高用户满意度并降低管理成本。
PHP 使用TP5.0 实现SSO单点登录
07-28
因为公司要实现SSO单点登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现了SSO单点登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。
单点登录集成接口文档及配置实施手册
01-05
金和软件单点登录集成接口文档及实施手册,为用户通过C6协同平台点集需要登录的业务系统提供用于单点登录的地址。
Sso配置
cx3309的博客
11-21 286
即多个站点共用一台认证授权服务器,用户在站点登录后,可以免登录访问其他所有站点Oauth2 协议 授权第三方进行认证resource owner:资源所有者,这里可以理解为用户。client:客户端,可以理解为一个第三方的应用程序 即微博 CSDN。认证/授权服务器,它认证resource owner的身份,为 resource owner提供授权审批流程,并最终颁发授权令牌(Access Token)。resource server:资源服务器: 除了认证服务器之外的其他的服务器。
SSO单点登录系统搭建(附源码)
无所谓^_^博客
04-10 3451
为什么要做这个系统:单点登录(Single Sign-On,简称SSO)是一种用户认证和授权的技术,它允许用户在多个应用系统中使用同一组凭据(用户名和密码)登录,避免了用户需要多次输入凭据的麻烦,提高了用户体验。比如阿里的淘宝和天猫,显然是两个系统,但是你只要登录了淘宝,天猫就不需要登录了。认证服务器(Authorization Server):负责颁发访问令牌(Access Token),验证客户端身份和用户身份。资源服务器(Resource Server):提供受保护的资源,需要验证访问令牌。
单点登录配置流程
a1684127730的博客
05-22 1014
后台系统</a><br><a href="/logout">安全退出
手把手教你用代码实现 SSO 单点登录
架构文摘
07-17 233
1. 概述1.1. 什么是SSO?单点登录( Single Sign-On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要 登录一次 就可以访问所有相互信任的应用系统。1.2. 什么是CAS?随着SSO技术的流行,相关产品也比较多,其中CAS就是一套解决方案,CAS(Central Authenticati...
单点登录(SSO)详解——超详细
热门推荐
qq_53895518的博客
03-20 1万+
此种实现方式比较简单,但不支持跨主域名。
CAS单点登入SSO配置说明
艾小仙的专栏
02-20 2924
安装环境 Tomcat7.0JDK6CAS SERVER 3.5.1,下载地址 http://www.jasig.org/cas/downloadCAS CLIENT 3.2.1,下载地址 http://downloads.jasig.org/cas-clients/?C=M;O=D 常用命令 -genkey:在用户主目录创建一个默认文件“.keystore”,还会产生一个mykey
基于CAS的SSO单点客户端配置
Xiang想
07-26 305
基于CAS的SSO单点客户端配置
CAS SSO单点登录实战配置指南
"SSO\CAS 单点登录配置手册" SSO(Single Sign-On)单点登录是一种身份验证机制,允许用户在一个应用系统中登录后,无需再次输入凭证即可访问其他相互信任的应用系统。CAS(Central Authentication Service)是实现...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值