一、CAS客户端HTTPS改HTTP方式
1.修改所有使用到casclient.jar的项目中该jar包内edu.yale.its.tp.cas.util.SecureURL.class文件(需要进行反编译成java类文件“SecureURL.java”),将下边代码中对https访问方式的验证代码注释掉(绿色部分)。
public static String retrieve(String url) throws IOException {
if (log.isTraceEnabled())
log.trace("entering retrieve(" + url + ")");
BufferedReader r = null;
String s;
try {
URL u = new URL(url);
/*if (!u.getProtocol().equals("https")) {
log.error("retrieve(" + url
+ ") on an illegal URL since protocol was not https.");
throw new IOException(
"only 'https' URLs are valid for this method");
}*/
URLConnection uc = u.openConnection();
uc.setRequestProperty("Connection", "close");
r = new BufferedReader(new InputStreamReader(uc.getInputStream()));
StringBuffer buf = new StringBuffer();
String line;
while ((line = r.readLine()) != null)
buf.append(line + "\n");
s = buf.toString();
} finally {
try {
if (r != null)
r.close();
} catch (IOException ex) {
}
}
return s;
}
2.修改页面上的https开头的连接,改为http。
修改login.jsp页面内容
修改前:
<cas:auth var="netid" scope="session">
<cas:loginUrl>https://passport.com/login</cas:loginUrl>
<cas:validateUrl>https://passport.com/proxyValidate</cas:validateUrl>
</cas:auth>
修改后:
<cas:auth var="netid" scope="session">
<cas:loginUrl>http://passport.com:8080/login</cas:loginUrl>
<cas:validateUrl>http://passport.com:8080/proxyValidate</cas:validateUrl>
</cas:auth>
修改logout.jsp页面内容
修改前:
<cas:logout
var="netid"
scope="session" logoutUrl="https://passport.com/logout"/>
修改后:
<cas:logout
var="netid"
scope="session" logoutUrl="http://passport.com/logout"/>
============================================
我使用的是CAS的3.3.1版本,按照如下配置就可以了:
参考网上的做法,不使用SSL来传送TGC,这样就不用在WEB服务器上配置SSL,同时用户在访问时IE也不会跳出要安装证书的提示了。这样针对安全需求没有那么高的场景其实是带来很多方便的。
CAS不用SSL(既用http协议,不用https)不能实现跨域的原因是CAS的TGC(TicketGrantingCookie)生成时设置了安全属性为只能被https协议访问,http协议访问不到。
配置文件cas\WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml,这是在3.3版本中,
原有配置如下:
<bean id="ticketGrantingTicketCookieGenerator" class="org.springframework.web.util.CookieGenerator">
<property name="cookieSecure" value="true " />
<property name="cookieMaxAge" value="-1" />
<property name="cookieName" value="CASTGC" />
<property name="cookiePath" value="/cas" />
</bean>
不同版本可能配置的方式不同,不过这个cookieSecure就是是否采用SSL来传递TGC,所以这里改成false就可以了。
SSL可以对通信的内容进行加密,防止通信内容被截取后泄露用户帐户信息。这在安全及级别较高的地方还是需要使用的。