Yale CAS Server的部署及cas-java-client 3.2的应用

最新推荐文章于 2021-02-21 13:01:06 发布
最新推荐文章于 2021-02-21 13:01:06 发布
阅读量119 收藏
点赞数
分类专栏: SSO 文章标签: Java 应用服务器 Tomcat SSO XML
环境:
[url=http://tomcat.apache.org/download-70.cgi]tomcat7.05[/url]
[url=http://www.jasig.org/cas/download]cas-server-3.4.5[/url]
[url=http://www.ja-sig.org/downloads/cas-clients/]cas-client-3.2.0[/url]

一 . 证书实践

1.生成keystore
keytool -genkey -alias cas -keypass changeit -storepass changeit -keyalg RSA -validity 3600 -dname "CN=[color=red]localhost[/color], OU=KENNY, O=KENNY" -keystore cas.keystore

[b]注意CN的填写,必须是访问的域名。因为是SSL,所以对域名要求比较严格。
[/b]

2.查看当前JRE的keystore,输出到t.txt中
keytool -list -v -keystore %java_home%/jre/lib/security/cacerts > t.txt

3.删除证书
keytool -delete -alias cas -keystore %java_home%/jre/lib/security/cacerts -keypass changeit

4.导出crt
keytool -export -alias cas -keypass changeit -file cas.crt -keystore cas.keystore

5.导入证书到JRE
keytool -import -alias cas -file cas.crt -keypass changeit -keystore %java_home%/jre/lib/security/cacerts

再提醒一次:
①.生成数字证书的时候必须使用主机名或者域名作为证书名称(CN),
例如sso.example.com(CN=sso.example.com, OU=example, O=example, L=beijing, ST=beijing, C=china)
②.检查JAVA_HOME环境变量(echo $JAVA_HOME),确认tomcat使用了那一个jre(有时候一台机器上会有多个jre),需要将生成的证书文件导入至web服务器使用的那个jre的信任证书列表中,可以使用keytool -list命令检查证书是否导入成功。

二.配置tomcat使用HTTPS

把cas.keystore文件放到tomcat的conf目录下

然后打开tomcat目录下 conf/server.xml文件

查找 
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
默认这一段是注释的,去掉注释符号然后修改为以下 

    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" keystorePass="changeit" keystoreFile="conf/cas.keystore"
           	maxThreads="150" scheme="https" secure="true" 
           	   enableLookups="false" disableUploadTimeout="true"
           	   acceptCount="100"
           	clientAuth="false" sslProtocol="TLS" />


启动tomcat,访问 https://localhost:8443/ 测试是否正常。

[b]勿忘把证书导入到JRE当中,参考第一点的说明。
[/b]

三.部署CAS-Server

解压CAS-server包
拷贝 modules/cas-server-webapp-VERSION.war 到tomcat下的webapps目录
若tomcat已启动会自动解压部署

访问
http://localhost:8080/cas-server/login 测试是否正常,同样可以使用https

四.测试CAS-Client,集成子系统

同样,这个跟网上的一些例子一样。拿tomcat webapps目录下的examples为子系统做例子。

原理很简单,examples项目原来不用登陆的,现在需加上统一验证。最简单的方法当然就是加一个filter,跟普遍应用中的权限功能差不多,并且耦合度低。所有请求都拦截下来先去filter里面处理验证权限信息,若原系统已经有权限系统的话,做的就是跟CAS-SERVER交互后获取子系统中客户端账号的权限到上下文中。

首先把cas-client-core.jar导入项目的lib中,其中记得把依赖包jakarta commos-logging.jar一并导入。

打开web.xml

添加如下filter的配置 
<!-- CAS configure Begin -->
<filter>
 	<filter-name>CasSingleSignOutFilter</filter-name>
 	<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>

<filter-mapping>
 	<filter-name>CasSingleSignOutFilter</filter-name>
 	<url-pattern>/*</url-pattern>
</filter-mapping>

<listener>
 	<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>

<filter>
 	<filter-name>CasAuthenticationFilter</filter-name>
 	<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
 	<init-param>
      	<param-name>casServerLoginUrl</param-name>
      	<param-value>https://localhost:8443/cas-server/login</param-value>
 	</init-param>
 	<init-param>
      	<param-name>serverName</param-name>
      	<param-value>https://localhost:8443</param-value>
 	</init-param>
	<init-param>
      	<param-name>renew</param-name>
      	<param-value>false</param-value>
 	</init-param>
</filter>

<filter-mapping>
 	<filter-name>CasAuthenticationFilter</filter-name>
 	<!-- 过滤器保护的URL,如果能访问这个保护的URL,表示经过CAS验证,可以做获取权限的操作。-->
 	<url-pattern>/*</url-pattern>
</filter-mapping>

<filter>
 	<filter-name>CasValidationFilter</filter-name>
 	<filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
 	<init-param>
      	<param-name>casServerUrlPrefix</param-name>
      	<param-value>https://localhost:8443/cas-server/</param-value>
 	</init-param>
 	<init-param>
      	<param-name>serverName</param-name>
      	<param-value>https://localhost:8443</param-value>
 	</init-param>
 	<init-param>
      	<param-name>redirectAfterValidation</param-name>
      	<param-value>true</param-value>
 	</init-param>
</filter>

<filter-mapping>
 	<filter-name>CasValidationFilter</filter-name>
 	<url-pattern>/*</url-pattern>
</filter-mapping>

<filter>
 	<filter-name>CasHttpServletRequestWrapperFilter</filter-name>
 	<filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>

<filter-mapping>
 	<filter-name>CasHttpServletRequestWrapperFilter</filter-name>
 	<url-pattern>/*</url-pattern>
</filter-mapping>

<!-- CAS configure End -->


其中注意红色的域名,由于证书生成的时的域名不同,将影响到这里跳转登录是否能访问子系统。

后记:
1、发生了不少次"No subject alternative names present"的问题。几个月前试过把client源码中触发的代码改掉,暂时不进行验证,因为想着调试的关系才出现的问题,现在想起都好笑。经测试后发现创建证书时,域名用127.0.0.1是不行的,就算web.xml里面匹配了127.0.0.1同样报错,而用localhost的话就正常。

2、CAS filter的配置改动比较大,之前学的和网上大多例子都沿用2.1版本的client及server,还一大堆写着edu.yale的classes。就连官网的wiki也一样是2.1版本的demo,还好依葫芦画瓢看到官网上有其他新的3.1配置参考。


附件说明:
web.rar为tomcat中examples项目中的web.xml文件,加入了CAS filter。
server.rar为tomcat/conf目录下的server.xml文件,参考配置SSL。
iteye_4929
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CAS
cocojiji5的专栏
09-02 584
 CAS (Central Authentication Service) 是 Yale 大学的 ITS 开发的一套 JAVA 实现的开源的 SSO(single sign-on) 的服务(主要是2.0,到3.0为ja-sig)。关键字TGC(ticket-granting cookie)--------- 受权的票据证明KDC( Key Distribution
SSO单点登录之二:Yale CAS实现单点登录(服务器端)
evilcry2012的专栏
11-07 5163
SSO单点登录之二:Yale CAS实现单点登录(服务器端) 博客分类:  SSO单点登录 应用服务器SSOBeanMySQLSpring  耶鲁大学开发的CAS单点登录系统在SSO中应该说是比较有名的啦,既然也是开源的,我们为何不拿过来学习学习呢 很早之前的耶鲁的CAS开源包地址是在:http://www.yale.edu/tp/auth/  目前的CAS
Yale CAS Server 来实现单点登陆(SSO)
记录我的工作、我的成长
09-01 1594
Yale CAS Server 来实现单点登陆(SSO) CAS (Central Authentication Service)是Yale大学的ITS开发的一套JAVA实现的开源 ic#d-fBl;t e0的SSO(single sign-on)的服务。 这里用一个简单的例子来说明用CAS来实现单点登陆(SSO)。 Yale CAS Server 的配置过程 CAS
cas-client-2.0.11.zip_cas client_cas-clie_cas-client-2._java CAS
09-20
cas 客户端文件,采用此客户端可以实现cas单点登陆即sso,是有耶鲁大学开发
CAS-SERVER.zip
09-27
CASYale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目.CAS 具有以下特点: 【1】开源的企业级单点登录解决方案。 【2】CAS ...
Yale CAS SSO JAVA Client
10-14
Yale CAS SSO JAVA Client
Yale CAS实现原理及其基础协议
热门推荐
02-01 1万+
 CAS(Central Authentication Service) 是 Yale 大学发起的一个开源项目,据统计,大概每 10 个采用开源构建 Web SSO 的 Java 项目,就有 8 个使用 CAS 。对这些统计,我虽然不以为然,但有一点可以肯定的是, CAS 是我认为最简单实效,而且足够安全的 SSO 选择。       本节主要分析 CAS 的安全性,以及为什么 CAS 被这样
CAS Client 端与CAS Server部署在不同机器模拟登出失败【登录成功】
whyzh的专栏
01-12 1840
背景环境: 1.一开始在测试的时候,我将Server端和客户端都部署在本机器上,发现登陆登出都是成功的。 部署CAS项目的都知道,需要在hosts文件中模拟虚拟域名: hosts: 127.0.0.1    sso.wsria.com【CAS Server 虚拟域名】 127.0.0.1    www.casclientdemo1.com 127.0.0.1    www.cas
SSO之CAS单点登录实例演示
weixin_34318326的博客
07-16 242
SSO之CAS单点登录实例演示 作者: Michael 日期: 2012 年 5 月 16 日发表评论 (0)查看评论   本文目录: 一、概述 二、演示环境 三、JDK安装配置 四、安全证书配置 五、部署CAS-Server相关的Tomcat 六、部署CAS-Client相关的Tomcat 七、 测试验证SSO 一、概述 此文的目的就是为了帮助初步接触SSO和...
Yale CAS Client 解说
a507492201的专栏
08-13 2034
本文旨在让初次接触CAS的同学不那么迷惑,我会一步步将调试的过程详细的分享在这里。包括参数的请求,类设计等。如果问CAS 本身是什么,在这不多做解释。不懂请Google。 CAS 总共分为两套系统。一套“进行认证授权的系统”,一套“需要认证与授权的系统”。那么今天我们探讨下CAS “需要认证与授权系统”的工作流程。 1. 首先从web.xml开始,找到edu.yale.its.tp.cas
java cas client_java-cas-client-3.2.1
weixin_39562606的博客
02-21 150
java-cas-client-3.2.1, 0 , 2011-07-11java-cas-client-3.2.1\LICENSE, 2318 , 2011-07-11java-cas-client-3.2.1\assembly.xml, 2434 , 2011-07-11java-cas-client-3.2.1\cas-client-core, 0 , 2011-07-11java-cas-...
Yale CAS(耶鲁集中认证服务)简介
evilcry2012的专栏
11-07 1119
Yale CAS(耶鲁集中认证服务)简介 2012-07-13 12:07:28   来源:我爱运维网   评论:0 点击:372198 CAS(Central Authentication Service)是Yale大学发起的一个开源项目(http://www.jasig.org/cas),为Web应用提供了单点登录(SSO)支持。CAS... CAS(Cent
Cas ServerCas Client 的配置与部署
xwq911的专栏
10-29 882
一、Tomcat 的 SSL的配置 1.生成server key 以命令方式换到目录%TOMCAT_HOME%,在command命令行输入如下命令: Keytool -genkey -alias tomcat_key -keyalg RSA -storepass changeit -keystore server.keystore -validity 3600 用户名输入域名,如local
基于关键词搜索结果的微博爬虫(下载即用).zip
05-21
基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改,以实现其他功能。 基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改,以实现其他功能。 基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改,以实现其他功能。 基于关键词搜索结果的微博爬虫(下载即用).zip本项目适合计算机相关专业(如软件工程、计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载使用,当然也适合小白学习进阶。如果基础还行,可以在此代码基础上进行修改
node-v4.4.1-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
J波模拟matlab代码.zip
05-21
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
CAS2.0验证票据返回信息
06-02
当客户端应用程序使用CAS 2.0协议从CAS服务器中获取票据(ticket)时,可以使用以下步骤来验证票据并获取用户的属性信息: 1. 客户端应用程序将票据(ticket)发送到CAS服务器,以获取与该票据关联的用户属性信息。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值