CAS代理服务配置(一)

最新推荐文章于 2020-05-19 17:28:33 发布
最新推荐文章于 2020-05-19 17:28:33 发布
阅读量394 收藏 2
点赞数
分类专栏: 系统配置 Java开发 CAS Proxy 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fishrui/article/details/84125047
版权
Java开发 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
系统配置
11 篇文章 0 订阅
订阅专栏
CAS
2 篇文章 0 订阅
订阅专栏

公司准备上SSO,选用CAS框架。本人学习了N久,总算配成功了。下面记录下涉及的各个节点。

1.CAS的名词解释及原理
2.HTTPS的配置
3.CAS Proxy的配置

4.测试

一、CAS名词解释及原理
这些个东东比较拗口,很难解释。我是看了好久才勉强理解。这方面的知识网络上有很多,介绍几个大牛的博客给大家看下吧。
名词解释:http://blog.csdn.net/tienway/article/details/5464516
原理:http://blog.csdn.net/emon123/article/details/6285549
         http://www.blogjava.net/security/archive/2006/04/26/SSO_CASProxy.html
官方wiki:https://wiki.jasig.org/display/CASC/CAS+Client+for+Java+3.1

二、HTTPS的配置
1.测试环境

cas-client-3.2.0

cas-server-3.4.10


cas server:         https://sso.test.com
backend service:  http://backend.test.com
proxy service:       http://proxy.test.com

host:
172.16.11.71   sso.test.com
172.16.11.72   backend.test.com
172.16.11.73   proxy.test.com

http端口默认80

https端口默认443

2.证书的生成
CAS Server和Proxy Service多需要使用HTTPS协议,因此需要生成2个证书。使用java自带的命令生成
cas server:     keytool -genkey -alias cas_server -keystore cas_server.keystore -keyalg RSA -validity 3666
proxy service:keytool -genkey -alias proxy_service -keystore proxy_service.keystore -keyalg RSA -validity 3666
生成证书时的域名(第一个输入项)要和测试的域名匹配。比如cas server要输入sso.test.com, proxy service要输入proxy.test.com

3.tomcat配置
配置conf/server.xml

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" URIEncoding="utf-8" keystoreFile="conf/cas_server.keystore" keystorePass="changeit" />

配置好后重启tomcat,打开浏览器验证下。如果出现红框,点击信任。如果能进入页面就OK了。因为这些证书是不受浏览器信任的,每次会提示安全信息。可以设置下将证书导出到信任列表里,就不会每次提醒了。IE的选择安装证书一路OK就行了。

 

4.证书信任

CAS代理验证模式下cas server和proxy service会后台互相调用https接口。因此需要配置jvm信任彼此的证书。不然

会报PKIX啥的异常.

首先在sso.test.com将cas server的证书导出

keytool -export -alias cas_server -keystore cas_server.keystore -file cas_server.crt

然后将cas_server.crt拷贝到proxy.test.com机器上导入jvm

keytool -import -alias cas_server -file cas_server .crt -keystore $JAVA_HOME/jre/lib/security/cacerts

同理 再将proxy.test.com上proxy_service的证书导入sso.test.com的jvm

 

现在先期的HTTPS配置工作完成了。

 

三、CAS Proxy配置

proxy service配置:

 

	<filter>
		<filter-name>CAS Single Sign Out Filter</filter-name>
		<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>CAS Single Sign Out Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	<listener>
		<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
	</listener>

	<filter>
		<filter-name>CAS Authentication Filter</filter-name>
			<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter
		</filter-class>
		<init-param>
			<param-name>casServerLoginUrl</param-name>
			<param-value>https://sso.test.com/login</param-value>
		</init-param>
		<init-param>
			<param-name>renew</param-name>
			<param-value>false</param-value>
		</init-param>
		<init-param>
			<param-name>gateway</param-name>
			<param-value>false</param-value>
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<param-value>http://proxy.test.com</param-value>
		</init-param>
	</filter>

	<filter>
		<filter-name>CAS Validation Filter</filter-name>
		<filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
		<init-param>
			<param-name>casServerUrlPrefix</param-name>
			<param-value>https://sso.test.com/</param-value>
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<param-value>http://proxy.test.com</param-value>
		</init-param>
		<init-param>
			<param-name>exceptionOnValidationFailure</param-name>
			<param-value>false</param-value>
		</init-param>
		<init-param>
			<param-name>redirectAfterValidation</param-name>
			<param-value>true</param-value>
		</init-param>
		<init-param>
			<param-name>acceptAnyProxy</param-name>
			<param-value>true</param-value>
		</init-param>
		<init-param>
			<param-name>useSession</param-name>
			<param-value>true</param-value>
		</init-param>
		<init-param>
			<param-name>proxyCallbackUrl</param-name>
			<param-value>https://proxy.test.com/proxyCallback</param-value>
		</init-param>
		<init-param>
			<param-name>proxyReceptorUrl</param-name>
			<param-value>/proxyCallback</param-value>
		</init-param>
	</filter>

	<filter-mapping>
		<filter-name>CAS Validation Filter</filter-name>
		<url-pattern>/proxyCallback</url-pattern>
	</filter-mapping>

	<filter-mapping>
		<filter-name>CAS Authentication Filter</filter-name>
		<url-pattern>*.jsp</url-pattern>
	</filter-mapping>

	<filter-mapping>
		<filter-name>CAS Validation Filter</filter-name>
		<url-pattern>*.jsp</url-pattern>
	</filter-mapping>

 

说明:

1.具体参数意义参见http://blog.csdn.net/tienway/article/details/5464516

2./proxyCallback这个接口原先yelu的jar包是单独的,cas_client_core是合并在

Cas20ProxyReceivingTicketValidationFilter类中。这个差别让我郁闷了很久。

3.过滤器的顺序不能乱了,前置的/proxyCallback官方没有这样的配置,这个得感谢(emon123)

http://blog.csdn.net/emon123/article/details/6285549

4.backend service配置同理

 

fishrui
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CAS认证及代理访问举例
KeepLearnToOld的博客
04-07 2375
一、 CAS简介 Cas的全称是Centeral Authentication Service,是对单点登录SSO(Single Sign On) 的一种实现。其由Cas Server和Cas Client两部分组成,Cas Server是核心,而Cas Client通常就对应于我们的应用。一个Cas Server可以对应于多个Cas Client。它允许我们在一个Client进行登录以后无需再让...
剖析CAS Proxy的设计原理
David.turing's Security Blog
04-26 224
由于CAS在开源社区的影响力,它逐渐被应用到各种复杂的SSO环境中。CAS的基本原理在广州UserGroup上有很多文章介绍,我不再做原理性的探讨,但CAS Proxy稍微复杂,值得对其作一个剖析,以便在日后的配置中减少配置上的失误。1,CAS Proxy的目的CAS Proxy的目的是,当浏览器用户Peter访问应用A,应用A引用了应用B1, B2的授权性资源(Authorized Resour...
JAVA CAS单点登录之三:CAS代理模式演练
weixin_34146805的博客
03-20 155
前言JAVA CAS单点登录之一:搭建CAS服务器 JAVA CAS单点登录之二:CAS普通模式1演练 代理模式相相对上一节的普通模式,更加复杂了。但配置起来也会稍微有些差别。所谓难者不会,会者不难。如果遇到一个从来没有遇到的问题,解决起来也是非常棘手的,当然解决之后就不是事了。我就遇到了一个CAS 坑爹的错误。一步步按照别人的博客坐下来,普通模式部署没有多大问...
CAS单点登陆proxy代理实现
weixin_34109408的博客
05-10 412
2019独角兽企业重金招聘Python工程师标准>>> ...
再谈casperjs截图, 使用代理
wang1144的专栏
12-04 3205
http://type.so/linux/bug-in-phantomjs-while-using-casperjs.html 遇到了什么问题 一直在使用 casperjs 来做网页截图,http://tool.lu/site 简单的使用是没有问题的,当要给墙外网址截图的时候,那么问题来了。 触发点: phantomjs 使用 proxy要截图的网址是 https 的
CAS单点登录开源框架解读(十二)--CAS单点登录代理模式之环境配置
joeljx的专栏
04-17 683
环境准备 服务器名称 访问地址 CAS认证服务器 http://localhost:8080/cas CAS单点登录客户端1(可代理访问客户端2) http://localhost:8088/cas-client CAS单点登录客户端2(被代理服务端) http://localhost:8087/cas-client-be-used-to-proxy http://lo...
CAS代理模式
03-06
CAS代理模式是CAS协议中的一个重要特性,它允许授权的用户代表其他用户执行操作,例如在教育和研究环境中,教师可以访问学生的信息或提交作业代为批改。 在Yale CAS实现中,代理模式主要涉及以下几个核心概念: 1....
cas代理模式代码示例
01-18
在这个"cas代理模式代码示例"中,我们关注的是如何在CAS环境中实现这一模式。 1、**实现代理模式的相关配置**: 在Java中,我们可以使用静态代理或者动态代理(如Java的`java.lang.reflect.Proxy`类)来实现。静态...
CAS代理服务
09-28
5. **CAS代理模式**:CAS支持代理模式,允许一个服务代表用户向另一个服务请求认证,这在多服务环境中非常有用。 6. **源码分析**:提供的源码示例可以帮助理解CAS的内部工作机制,包括登录、验证、服务票证的生成...
cas-demo.rar_.net cas demo_CAS_CAS点登录配置文档_DEMO_cas .net
09-21
CAS(Central Authentication Service,中央认证服务)是一种广泛使用的开源身份验证框架,主要目的是提供单一登录(Single Sign-On,SSO)功能。在这个“cas-demo.rar”压缩包中,包含了一个.NET实现的CAS客户端...
# CAS单点登录(四)----自定义认证登录策略 ####
weixin_43392662的博客
05-19 370
CAS单点登录(四)----自定义认证登录策略 前提: ​ 加入CAS框架提供的方案还是不能满足我们的需求,比如我们不紧需要用户名和密码,还要验证其他信息,比如邮箱、手机号、但是邮箱、手机号信息在另外一个数据库,还有一段时间内同一个IP输入错误次数的限制等等。我们就需要自定义认证策略,自定义CAS的web认证流程。 自定义认证校验策略 ​ CAS提供了多种认证数据源,例如JDBC,File,JSON等,但是如果我们想在自己的认证方式中提供不同的数据源选择,就需要我们自己去实现自定义认证。 ​ 自
CAS单点登录【2】 - 自定义认证的认证策略(如加密策略)、认证的数据源(如JDBC、Json、请求第三方Restful接口) - 【未完】
LawssssCat的博客
03-19 1530
上一篇:CAS集群【上:认证】-理论(cas架构、https、SSL、TLS、非对称加密、证书、CA、握手)、OpenSSL、cas(认证、指定加密策略) 参考: CAS之5.2x版本自定义登录,多数据源登录-yellowcong CAS单点登录(四)——自定义认证登录策略 自定义校验策略 官方提供的认证策略通常是不够,这就需要我们能自定义认证校验策略 自定义策略主要通过现实更改CAS配...
单点登录cas常见问题(八) - 什么时候会用到代理proxy模式?
will的成长之路
02-21 6093
举一个例子:有两个应用App1和App2,它们都是受Cas服务器保护的,即请求它们时都需要通过Cas 服务器的认证。现在需要在App1中通过Http请求访问App2,显然该请求将会被App2配置Cas的AuthenticationFilter拦截并转向Cas 服务器,Cas 服务器将引导用户进行登录认证,这样我们也就访问不到App2的资源了。针对这种应用场景,Cas也提供了Cas Proxy
CAS代理相关方法之间的调用
Black Monkey
06-07 754
(1):先把用户名放到Session                                      request.getSession().setAttribute("username", "test"); (2):ProvideLoginTicketAction 判断 get-lt是否生成。 如果没有,跳转到指定的Action (3):到指定的Action(zgCodeV
CAS3.4 代理模式详细配置
Jcbay的专栏
01-05 371
版本 CAS服务器版本:3.4.2 CAS客户端for JAVA版本:3.1.10   前言 CAS3.4版本的资料在网上实在是少的可怜啊,幸亏官方网站所提供的资料帮助我完成了代理模式的配置,不过读E文真的很费劲。   在详细配置之前先说下对代理模式的认证,在网上查资料时看到有人说代理模式是服务于C/S架构的程序,还举例说什么看电影什么的,当然每个人都有不同的看法,不过我真的...
CAS代理服务配置(二)
fishrui的专栏
01-05 188
四、测试页面 在proxy.test.com下部署个index.jsp,代码如下:   &lt;%@ page language="java" contentType="text/html; charset=UTF-8" import="java.util.*" pageEncoding="utf-8"%&gt; &lt;%@ page import="org.jasig.cas.cli
CAS 5.1.x版本代理模式实现
AaronSimon的博客
09-14 4565
一、什么是CAS代理认证   在我们的项目中,有这样一个场景:有两个服务holiday(节假日服务)和mainWeb(集成服务),这两个服务都集成了CAS,所有的请求都要经过CAS Server的认证。由于mainWeb内部会去调用holiday的服务,但是mainWeb的请求会被holiday配置CAS拦截器AuthenticationFilter拦截并重定向到CAS Server。这样我...
Nginx常用/Cas相关代理配置
OxYGC
04-29 982
常用代理Server配置: server { listen 80; //监听的本地端口 server_name localhost; location /api1/ { proxy_pass http://localhost:8080; } # http://loca...
nginx 配置代理,系统cas登录一直重定向怎么处理
最新发布
06-15
如果您使用 Nginx 配置反向代理时,遇到了系统 CAS 登录一直重定向的问题,可以尝试以下方法: 1. 检查 Nginx 配置文件中的代理设置是否正确,尤其是 proxy_pass 的设置是否正确,确保代理到正确的地址和端口。 2....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值