cas 在 反向代理环境中的https 配置

最新推荐文章于 2024-04-23 03:50:04 发布
最新推荐文章于 2024-04-23 03:50:04 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: cas ssl nginx tomcat 文章标签: ssl switch lbs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heavenick/article/details/51924774
版权
cas 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
ssl
1 篇文章 0 订阅
订阅专栏
nginx
1 篇文章 0 订阅
订阅专栏

cas 推荐是在https 环境中使用,之前说的只是在http环境中,配置的https 与http 大体上都是一致。 今天使用https 进行配置。

1、证书的颁发
2、服务端的配置。
3、客户端配置。

有问题欢迎学习交流。

流程图,不要吐槽

  • 描述
    • user>Switch 用户端使用的是http(s),也就是两者并行
    • Switch 只是做端口转发,不做其他的处理
    • LBS 中配置了ssl 证书,并且做反向代理,支持http与https两种方式,
    • LBS>Server 都是使用的http ,也就是说server 中的服务不做ssl处理
    • -

- 存在的问题就是:因为在内外中都是使用的http ,所以tomcat 中不能获获取到https,仅仅能获取到http://SERVER_HOST: PORT/xxx ,这样的请求地址,会导致server 中地址解析异常。

1. 证书安装

linux 下nginx与openssl 搭建https 服务器 subversion https 服务器 如果有其他问题可以直接百度,有很多相关的资料的

在nginx 配置中添加 添加的原因 在后面的tomcat配置中。
- proxy_set_header x-real-ip remoteaddr;proxysetheaderxforwardedfor proxy_add_x_forwarded_for;
- proxy_set_header x-forwarded-host serveraddr;proxysetheaderxforwardedport server_port;
- proxy_set_header x-forwarded-proto https;

2、服务端配置
  • 服务端的配置相对来说比较简单,就是将修改为http 的修改回去就好了

   WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml

   <!--  TODO 这里将 cookieSecure 修改为了false ,目的是使用http  -->
    <bean id="ticketGrantingTicketCookieGenerator" 
    class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
          c:casCookieValueManager-ref="cookieValueManager"
          p:cookieSecure="true"
          p:cookieMaxAge="-1"
          p:cookieName="TGC"
          p:cookiePath=""/>
  • 认证处理配置 WEB-INF/deployerConfigContext.xml 
     <!--  TODO 这里设置 p:requireSecure="false" 目的是为了使用http   -->
        <bean id="proxyAuthenticationHandler"
              class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" 
              p:requireSecure="false"
              p:httpClient-ref="supportsTrustStoreSslSocketFactoryHttpClient" />
3、客户端配置

客户端主要的是配置就是web.xml,里面修改相应的地址就好了.但是 SingleSignOutFilter 与 Cas20ProxyReceivingTicketValidationFilter 的配置 casServerUrlPrefix 不要修改, 原因是casserver 与server 是处于内容之中,内网中使用的是http 的方式,不存在http 的访问方式。所以不能使用https 的方式访问,如果将证书放在tomcat 下,这个配置也是需要修改的。 

<filter>
        <!-- 判断用户时候进行登录的,没有今登陆将跳转到casServerLoginUrl页面进行登录,这里手动实现了一下,用于登出 -->
        <filter-name>CAS Authentication Filter</filter-name>
        <!--<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>-->
        <filter-class>com.ym.system.filter.AuthenticationFilter</filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <param-value>https://test.com/cas/login</param-value>
        </init-param>
        <init-param>
            <param-name>casServerLogoutUrl</param-name>
            <param-value>https://test.com/cas/logout</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>test.com</param-value>
        </init-param>
        <init-param>
            <param-name>ignorePattern</param-name>
            <param-value>^.*[.](js|css|gif|png|zip)$</param-value>
        </init-param>
    </filter>

     <filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>http://test.com/cas</param-value>
            <!-- cas server 端地址的配置。 这个主要是用户登出用的  -->
        </init-param>
    </filter>
    <filter>
        <!-- 用于进行ticket认证 -->
        <filter-name>CAS Validation Filter</filter-name>
        <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
        <init-param>
            <!-- ticket 认证的地址,这里配置的是内网地址-->
            <param-name>casServerUrlPrefix</param-name>
            <param-value>http://127.0.0.1:8443/cas</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>test.com</param-value>
        </init-param>
        <init-param>
            <param-name>redirectAfterValidation</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>acceptAnyProxy</param-name>
            <param-value>false</param-value>
        </init-param>
        <init-param>
            <param-name>useSession</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>utf-8</param-value>
        </init-param>
    </filter>

客户端与服务端配置就这么多。
- 在上面的架构中,服务器是不能获取到外网请求的信息的,所以我们需要在lbs 上进行处理。也就是前面提到的nginx 添加的参数,但是仅仅有那个参数是不行的,还需要在tomcat中进行配置。
- 在tomcat 的server.xml 中添加RemoteIpValve ,目的是在使用代理的时候,获取代理的头中的配置信息,这样tomcat 就能获取到正确的请求地址,不会造成混乱。

      <Valve className="org.apache.catalina.valves.RemoteIpValve"
             remoteIpHeader="x-forwarded-for"
            remoteIpProxiesHeader="x-forwarded-by"
            protocolHeader="x-forwarded-proto"
       />

nginx 配置实例

http {
    include       mime.types;
    default_type  application/octet-stream;


    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status<$sent_http_location> $body_bytes_sent   "$http_referer" '
                      '"$http_x_forwarded_for"';

    access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    server {
        listen       80;
        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.htm;
            autoindex on;   # 显示目录
            autoindex_exact_size on;    # 显示文件大小
            autoindex_localtime on; # 显示文件时间
        }

        location /cas {
            proxy_pass   http://127.0.0.1:8443;
        }

        location /ym1 {

            proxy_set_header   Host   $host;
            proxy_set_header   Referer $http_referer;
            proxy_set_header   Cookie $http_cookie;
            proxy_set_header   X-Real-IP  $remote_addr;
            proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header   X-FORWARDED-HOST $server_addr;  
            proxy_set_header   X-FORWARDED-PORT $server_port;
            proxy_set_header   x-forwarded-proto http;

            proxy_pass   http://127.0.0.1:8080;
        }

        location /ym2 {

            proxy_set_header   Host   $host;
            proxy_set_header   Referer $http_referer;
            proxy_set_header   Cookie $http_cookie;
            proxy_set_header   X-Real-IP  $remote_addr;
            proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-FORWARDED-HOST $server_addr;  
            proxy_set_header X-FORWARDED-PORT $server_port;
            proxy_set_header   x-forwarded-proto http;

            proxy_pass   http://127.0.0.1:8081;
        }
        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }





    # HTTPS server
    #
    server {
        listen       443;
        server_name  localhost;

        ssl on ;

        ssl_certificate      test.crt;
        ssl_certificate_key  test_nopass.key;

        # ssl_session_timeout 5m;
        # ssl_session_cache    shared:SSL:1m; 

        ssl_protocols SSLv2 SSLv3 TLSv1;
        ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
        ssl_prefer_server_ciphers on;




       location / {
            root   html;
            index  index.html index.htm;
            autoindex on;   # 显示目录
            autoindex_exact_size on;    # 显示文件大小
            autoindex_localtime on; # 显示文件时间
        }

        location /cas {
            proxy_pass   http://127.0.0.1:8443;
        }

        location /ym1 {

            proxy_set_header   Host   $host;
            proxy_set_header   Referer $http_referer;
            proxy_set_header   Cookie $http_cookie;
            proxy_set_header   x-real-ip  $remote_addr;
            proxy_set_header   x-forwarded-for $proxy_add_x_forwarded_for;
            proxy_set_header   x-forwarded-host $server_addr;  
            proxy_set_header   x-forwarded-port $server_port;
            proxy_set_header   x-forwarded-proto https;

            proxy_pass   http://127.0.0.1:8080;
        }

        location /ym2 {

            proxy_set_header   Host   $host;
            proxy_set_header   Referer $http_referer;
            proxy_set_header   Cookie $http_cookie;
            proxy_set_header   x-real-ip  $remote_addr;
            proxy_set_header   x-forwarded-for $proxy_add_x_forwarded_for;
            proxy_set_header   x-forwarded-host $server_addr;  
            proxy_set_header   x-forwarded-port $server_port;
            proxy_set_header   x-forwarded-proto https;

            proxy_pass   http://127.0.0.1:8081;
        }
    }

}

相关技术网站:
- Handling X-FORWARDED-PROTO in java apache-tomcat
- tomcat RemoteIpValve API
- tomcat架构分析(valve机制)

heavenick
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录之windows搭建cas服务器(使用cas-server4.1.3)
pucao_cug的专栏
04-01 1万+
单点登录开源框架cas4.1.3在windows下的安装。
CAS Server and Client - https
kongxx的专栏
03-06 489
CAS Server and Client cas server cas-overlay-template 从 https://github.com/apereo/cas-overlay-template/tree/5.2 下载 cas-overlay-template 包,这里选择5.2版本。 配置与打包 build copy 修改build.cmd文件,将其 cas.example.org 改为 localhost。 # build gencert build package 修改 cas.wa
CAS单点登录-https配置(四)
最新发布
ehehhahs的博客
04-23 1005
大型分布式系统犹如一个生命,系统各个服务犹如骨骼,其的数据犹如血液,而Kafka犹如经络,串联整个系统。这份Kafka源码笔记通过大量的设计图展示、代码分析、示例分享,把Kafka的实现脉络展示在读者面前,帮助读者更好地研读Kafka代码。麻烦帮忙转发一下这篇文章+关注我《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!总结大型分布式系统犹如一个生命,系统各个服务犹如骨骼,其的数据犹如血液,而Kafka犹如经络,串联整个系统。
nginx反向代理cas server之1:多个cas server负载均衡配置以及ssl配置
weixin_30252155的博客
06-21 213
系统环境采用centOS7 由于cas server不支持session持久化方式的共享,所以请用其他方式代替,例如:组播复制。 为什么不支持session持久化:http://blog.csdn.net/eguid_1/article/details/51444009 SSL配置详细请查看http://blog.csdn.net/eguid_1/article/details/51...
通过反向代理方式处理cas单点登录内外网双ip访问的问题
qq_29467891的博客
06-24 2589
前言:由于项目部署的的环境是内外网隔离的模式,把网络分成内网和外网两部分。cas服务器及客户端部署在内网,通过端口映射的方式把服务端口向外网开放,外网用户只能通过外网IP访问客户端。因此会存在一个问题,我们的客户端配置casServer地址及回调的url使用的是内网的。用户通过外网ip访问后,跳转的cas登录地址为内网的地址,因此是访问失败的。而如果配置成外网ip的话,通过内网ip访问也是失败的,浏览器显示的是外网的地址。 我们的需求是,通过外网ip访问的客户端业务系统,重定向到外网的cas服务器,登录后
nginx配置反向代理CAS单点登录应用
weixin_30747253的博客
04-23 1329
新增如下配置即可: location /cas { proxy_pass http://172.16.20.155:8080/cas; proxy_redirect default; proxy_read_timeout 600s; proxy_set_header X-Real-IP $remote_addr; proxy_s...
nginx反向代理导致session失效的问题解决
01-09
两边通过同一个nginx进行反向代理,nginx配置大致如下, location /health/ { proxy_pass http://192.168.40.159:8081/health/; #无问题的配置 } location /health-dev/ { proxy_pass ...
CAS JPA-Ticket存储解决负载均衡配置
05-13
对于CAS Server,实现负载均衡有多种策略,例如使用反向代理、轮询或者基于会话粘滞性的策略。会话粘滞性允许将特定用户的请求始终路由到处理其初始请求的同一服务器,以保持会话状态的一致性。在CAS,采用Ticket...
extranet:具有可选 CAS 身份验证的反向代理(基于 Node.js...)
07-01
标题的“extranet:具有可选 CAS 身份验证的反向代理(基于 Node.js...)”指的是一项技术实现,它涉及外联网(Extranet)的访问控制,利用了CAS(Central Authentication Service,央认证服务)的可选身份验证...
CAS server4.0完全发布包,关闭了https,方便用于测试
03-05
6. 注意安全:在生产环境,强烈建议启用HTTPS以确保通信的安全性,可以使用Apache HTTPD或Nginx等反向代理服务器来配置SSL。 总的来说,CAS Server 4.0的完全发布包提供了一套完整的工具和资源,帮助开发者和管理...
net_proxy_demo.rar_CAS_breathkbl_sincedld_金智的cas_金智统一认证
09-25
文件"net_proxy_demo"可能包含了一个演示性的反向代理配置和集成代码,用于展示如何设置和测试这个过程。这个示例代码可能会涉及以下内容: 1. 配置反向代理服务器(如Nginx或Apache)以将所有需要认证的请求转发给...
cas https 到 http
03-19
NULL 博文链接:https://crawler.iteye.com/blog/729475
CAS单点登录配置https
xue317378914的专栏
07-14 1153
基础环境 CAS-5.3.9 Tomcat 9.0.37 jdk8 本地配置 配置hosts文件 hms.iems.cloud 是我们测试的域名 测试时需要把本地机的ip映射为hms.iems.cloud设到系统hosts文件 在目录C:\Windows\System32\drivers\etc下找到并修改hosts文件 修改该文件需要管理员权限 生成密钥 生成步骤,各参数含义: -genkeypair 生成密钥 -keyalg 指定密钥算法,这时指定RSA, -keysize 指定密钥长度,默认是10
cas https证书配置
曾令胜的博客
03-29 906
【安全证书配置】: 1 打开cmd命令窗口 2 生成证书,在cmd窗口输入以下命令: keytool -genkey -alias ssodemo -keyalg RSA -keysize 1024 -keypass zhoubang -validity 365 -keystore c:\zhoubang.keystore -storepass zhoubang 【说明】:-alias后面的别名可...
基于CAS实现单点登录(1):https配置
u013938578的博客
03-07 902
什么是CAS CAS(Central Authentication Service) 是 Yale 大学发起的一个开源项目,是单点登录的一种现方式 官网地址:https://www.apereo.org/ Github地址:https://github.com/apereo/cas 分为CAS Server服务端和CAS Client客户端: CAS Server: CAS Serve...
基于CAS的WEB单点登录(sso)服务端及其tomcat/nginx https配置
MJ的博客
10-27 2186
一、关于SSO单点登录 单点登录sso的实现常见的有Oauth2(当前主流,较复杂)和CAS(Center Authentication Server),它们的区别。这里先研究一把apereo实现的CAS SSO。 二、CAS基本原理,参考https://www.jianshu.com/p/b7de8e4cf217 访问服务:SSO 客户端发送请求访问应用系统提供的服务资源。 定向认证:SSO 客户端会重定向用户请求到 SSO 服务器。 用户认证:用户身份认证。 发放票据...
cas支持https不通过
南小瓜的专栏
10-10 529
首先是导入证书(网上有相关的介绍,这个不是本文的重点),然后是在tomcat的目录conf下的server.xml配置如下:  &lt;Connector protocol="org.apache.coyote.http11.Http11Protocol"          port="8443" minSpareThreads="5" maxSpareThreads="75"         ...
含泪分享CAS单点登录Https的坑
LJL's博客
08-31 743
网上很多文章说要使用CAS单点登录必须要配置域名, cas server是不能通过ip访问的,这实际上是错误的,这和cas无关。生成的证书一定要这样 错误: unable to find valid certification path to requested target 生成证书: keytool -genkeypair -alias cas41key -keyalg RSA -keys...
cas的http和https
weixin_34149796的博客
11-02 304
2019独角兽企业重金招聘Python工程师标准>>> ...
cas配置https
07-28
要在CAS配置HTTPS,您需要执行以下步骤: 1. 为CAS服务器获取并安装SSL证书。您可以自行生成自签名证书或购买第三方SSL证书。 2. 将SSL证书文件和私钥文件放置在CAS服务器上的适当位置,并确保只有CAS服务器可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值