CAS3单点登录与SpringSecurity3整合全纪录

最新推荐文章于 2024-06-09 14:30:08 发布
最新推荐文章于 2024-06-09 14:30:08 发布
阅读量403 收藏
点赞数
分类专栏: spring 文章标签: CAS3 Spring Security

最近在做一个单点登录的项目,在网上找了一些资料大都是比较旧的文章。不过还是给了我很多的帮助。在这记录一下我的整合过程。废话少说,直奔主题。

 

单点登录服务端采用的是CAS 3.4.7  下载地址:http://www.jasig.org/cas/download

            客户端采用的是CAS client java 3.1.12  下载地址:https://wiki.jasig.org/display/CASC/CAS+Client+for+Java+3.1

权限控制用Spring Security3.0.5

 

网络环境:

192.168.10.167 : xx网站

192.168.10.173 : 单点登录服务器

 

1、安装JDK,tomcat

这个不说了。

 

2、让tomcat支持SSL

 

     1)用keytool制作密钥

        命令行模式(winows)

        确认系统环境变量里有JAVA_HOME

        >keytool -delete -alias tomcatsso167 -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

>keytool -delete -alias tomcatsso167 -storepass changeit
>keytool -list -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
>keytool -genkey -keyalg RSA -alias tomcatsso167 -dname "CN=www-167" -storepass changeit -validity 365
        输入<tomcatsso>的主密码
            (如果和 keystore 密码相同,按回车):
        再次输入新密码:
>keytool -export -alias tomcatsso167 -file "%JAVA_HOME%/jre/lib/security/tomcatsso167.crt" -storepass changeit
>keytool -import -alias tomcatsso167 -file "%JAVA_HOME%/jre/lib/security/tomcatsso167.crt" -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
 

        说明:“CN=www-167”是计算机名,如果是多台服务器一定要用计算机名。上面这段是在一台windows服务器上生成SSL需要的证书。        

 

        命令行模式(linux)

        export  (查看JAVA_HOME环境变量是否存在)

        让SSH终端显示中文,修改/etc/sysconfig/i18n文件如下

        LANG="zh_CN.gb2312"//表明你当前系统的语言环境变量设置 

        SUPPORTED="zh_CN.gb2312:zh_CN:zh:en_US.UTF-8:en_US:en"//表明系统预置了那些语言支持 ,不在项目中的语言不能正常显示 

        SYSFONT="latarcyrheb-sun16"//定义控制台终端字体,你文本登录的时候显示的字体就是这个 latarcyrheb-sun16

 

        将window命令中的%JAVA_HOME% 换成$JAVA_HOME

        >keytool -delete -alias tomcatsso173 -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit

        >keytool -delete -alias tomcatsso173 -storepass changeit
        >keytool -list -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
        >keytool -genkey -keyalg RSA -alias tomcatsso173 -dname "CN=www-173" -storepass changeit -validity 365
        >keytool -export -alias tomcatsso173 -file "$JAVA_HOME/jre/lib/security/tomcatsso173.crt" -storepass changeit
        >keytool -import -alias tomcatsso173 -file "$JAVA_HOME/jre/lib/security/tomcatsso173.crt" -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
 

 

        如果client和server不是同一台机器,需要将server的证书(tomcatsso173.crt)导入到client机器中,这样server在登录后才能正确返回。

        导入命令:keytool -import -alias tomcatsso173 -file "%JAVA_HOME%/jre/lib/security/tomcatsso173.crt" -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

         说明:"CN=www-173"是这台机器的计算机名(hostname)。

 

     2)设置tomcat配置文件 server.xml

     windows:

 

 

<Connector protocol="org.apache.coyote.http11.Http11Protocol" 
               port="8443" minSpareThreads="5" maxSpareThreads="75" 
               enableLookups="true" disableUploadTimeout="true" 
               acceptCount="100" maxThreads="200" 
               scheme="https" secure="true" SSLEnabled="true" 
               keystoreFile="C:/Documents and Settings/Administrator/.keystore" keystorePass="changeit" 
               truststoreFile="D:/Program Files/Java/jdk1.6.0_20/jre/lib/security/cacerts" 
               clientAuth="false" sslProtocol="TLS"/>
 

     linux:带路径的两行修改为以下内容    

               keystoreFile="/root/.keystore" keystorePass="changeit"

               truststoreFile="/usr/java/jdk1.6.0_20/jre/lib/security/cacerts"

 

     3)启动tomcat,在浏览器输入https://localhost:8443 显示tomcat页面就对了。有的浏览器会出一个安全的提示,继续就可以了。

 

 

3、部署CAS Server

   到CAS网站上下载server程序,将cas-server-webapp-<版本号>.war 拷贝到 tomcat的 webapps 目录,并更名为 cas.war。由于前面已配置好 tomcat 的 https 协议,可以重新启动 tomcat,然后访问:https://localhost:8443/cas ,如果能出现正常的 CAS 登录页面,则说明 CAS Server 已经部署成功。

 

 

4、修改CAS Server为jdbc连接

    1)修改cas/WEB-INF/deployerConfigContext.xml

    添加DataSource

 

 

    <bean id="casDataSource" class="org.apache.commons.dbcp.BasicDataSource">
        <property name="driverClassName">
            <value>com.mysql.jdbc.Driver</value>
        </property>
        <property name="url">
            <value>jdbc:mysql://ip:3306/database?characterEncoding=UTF-8</value>
        </property>
        <property name="username">
            <value>root</value>
        </property>
        <property name="password">
            <value></value>
        </property>
    </bean>
 

    2)替换AuthenticationHandler

    注释掉原来的

    <!-- <bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" /> -->

    增加

    <bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">

        <property name="dataSource" ref="casDataSource" />

        <property name="sql" value="select passwd from v_user where account=?" />

    </bean>

    <!-- sql是查询密码的sql语句,修改成符合你的数据结构的语句 -->

 

    3)添加依赖jar包

     cas-server-support-jdbc-<版本号>.jar、mysql-connector-java-<版本号>-bin.jar、commons-collections-3.2.jar、commons-dbcp-1.2.1.jar、commons-pool-1.3.jar

 

至此单点登录的Server端已经安装配置完成了。在浏览器输入 https://localhost:8443/cas 就可以测试一下了。

 

 

5、纯洁的配置CAS-client。纯洁?就是只用CAS client配置一个标准的web工程,没有其他框架和权限工具,这样有利于理解CAS client的工作原理。如果没兴趣,也可以直接看第7步和Spring Security结合的部分。

    1)新建一个web工程,添加一个jsp页面。

    2)添加依赖jar包

    cas-client-core-3.1.10.jar、commons-logging.jar

    3)web.xml的配置,添加如下配置:

    <!-- 单点登出过滤器 -->

 

 

<filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <listener>
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    </listener>
    <!-- 认证过滤器,当本地不含登录信息时,跳转到casServerLoginUrl进行身份认证 -->
    <filter>
        <filter-name>CAS Authentication Filter</filter-name>
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <param-value>https://www-173:8443/cas/login</param-value> <!-- 单点登录服务器的登录URL -->
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://www-167:8080</param-value>  <!-- 登陆后返回的服务器地址 -->
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Authentication Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!-- 解析登录服务器返回的认证信息,可选多种protocol -->
    <filter>
        <filter-name>CAS Validation Filter</filter-name>
        <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>https://www-173:8443/cas</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://www-167:8080</param-value>
        </init-param>
        <init-param>
            <param-name>redirectAfterValidation</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Validation Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!-- 将上面解析的结果装入request -->
    <filter>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!-- 在本地线程保存解析结果 -->
    <filter>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
 

 

     启动client端web服务器,浏览jsp页面,浏览器会跳到单点登录服务器进行登录,登陆后返回client服务。

 

 

 

6、CAS返回信息

     上面配置的CAS Validation Filter如果是CAS1.0的协议,即Cas10TicketValidationFilter类,就只能返回登录账号。取得方法是:

     request.getRemoteUser();

     或者

     AttributePrincipal principal = (AttributePrincipal)request.getUserPrincipal();

     principal.getName();

 

     如果用CAS2.0的协议,即Cas20ProxyReceivingTicketValidationFilter,理论上是可以增加返回属性的。但是如果用cas server3.4.7这个版本,还需要自己添加一些类帮助完成这项工作。SAML1.1协议没有测试。

 

     实际上单点登录服务器也就只应该返回登录账号,不应该将其他工作交给登录服务器,应该有client服务器去处理。不过实际情况总是出人意料,如果就要返回其他属性,那就改吧。

 

7、Spring Security3.0.5的配置。

     我的web服务是在spring security的cas例子上做了一些修改。建议到http://s3browse.springsource.com/browse/maven.springframework.org/snapshot/org/springframework/security/ 下载spring的例子。

     1)web.xml

 

 

<context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            /WEB-INF/applicationContext-security.xml
        </param-value>
    </context-param>

    <context-param>
        <param-name>log4jConfigLocation</param-name>
        <param-value>/WEB-INF/classes/log4j.properties</param-value>
    </context-param>

    <context-param>
        <param-name>webAppRootKey</param-name>
        <param-value>cas.root</param-value>
    </context-param>

    <filter>
       <filter-name>CAS Single Sign Out Filter</filter-name>
       <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
    </filter>

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
       <filter-name>CAS Single Sign Out Filter</filter-name>
       <url-pattern>/*</url-pattern>
    </filter-mapping>

    <filter-mapping>
      <filter-name>springSecurityFilterChain</filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

    <listener>
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    </listener>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <listener>
        <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>
    </listener>
 

 

2)applicationContext-security.xml

 

 

<!-- 浏览权限设定,根据自己的情况修改 -->

    <sec:http entry-point-ref="casProcessingFilterEntryPoint">
        <sec:intercept-url pattern="/secure/extreme/**" access="ROLE_PROJECTLEADER" />
        <sec:intercept-url pattern="/secure/**" access="ROLE_USER" />
        <sec:logout logout-success-url="/cas-logout.jsp"/>
        <sec:custom-filter ref="casAuthenticationFilter" after="CAS_FILTER"/>
    </sec:http>

    <sec:authentication-manager alias="authenticationManager">
        <sec:authentication-provider ref="casAuthenticationProvider"/>
    </sec:authentication-manager>

    <bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">
        <property name="authenticationManager" ref="authenticationManager"/>
        <!-- 认证失败返回的页面(非403错误) -->
        <property name="authenticationFailureHandler">
            <bean class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
                <property name="defaultFailureUrl" value="/casfailed.jsp"/>
            </bean>
        </property>
        <!-- 认证成功返回的页面,此处做了修改,这个类是继续之前的操作。默认的类是设置一个固定的页面 -->
        <property name="authenticationSuccessHandler">
        	<bean class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler" />
        </property>
    </bean>

    <bean id="casProcessingFilterEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint">
        <property name="loginUrl" value="https://www-167:8443/cas/login"/>  <!-- 单点登录服务器登录URL -->
        <property name="serviceProperties" ref="serviceProperties"/>
    </bean>

    <bean id="casAuthenticationProvider" class="org.springframework.security.cas.authentication.CasAuthenticationProvider">
        <property name="userDetailsService" ref="userService"/>
        <property name="serviceProperties" ref="serviceProperties" />
        <property name="ticketValidator">
            <bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
                <constructor-arg index="0" value="https://www-167:8443/cas" />
            </bean>
        </property>
        <property name="key" value="an_id_for_this_auth_provider_only"/>
    </bean>

    <bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">
        <property name="service" value="http://www-167:8080/castest2/j_spring_cas_security_check"/>  <!-- client服务的URL, j_spring_cas_security_check是security自己定义的一个filter-->
        <property name="sendRenew" value="false"/>
    </bean>
    <!-- 权限用jdbc从数据库中读取,数据库结构请看http://static.springsource.org/spring-security/site/docs/3.0.x/reference/appendix-schema.html -->
    <!-- 这里因为用了Group的权限,需要设置enableGroups,所以这样配。如果不需要Group的权限,也可以简单的如下配置 -->
    <!-- <sec:jdbc-user-service id="userService" data-source-ref="dataSource" /> -->
    <!-- 如果有自己的数据结构,可以在下面增加2个属性配置:users-by-username-query,authorities-by-username-query用这两个配置你的sql -->
    <bean id="userService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
    	<property name="dataSource" ref="dataSource" />
    	<property name="enableGroups" value="true" />
    </bean>

    <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource">
        <property name="driverClassName">
            <value>com.mysql.jdbc.Driver</value>
        </property>
        <property name="url">
            <value>jdbc:mysql://ip:3306/database?characterEncoding=UTF-8</value>
        </property>
        <property name="username">
            <value>root</value>
        </property>
        <property name="password">
            <value></value>
        </property>
    </bean>
 

 

OK,配置完成,开始漫长的开发吧。

 

有帮助的文章和链接:

CAS Server wiki:https://wiki.jasig.org/display/CASUM/Home

CAS Client wiki:https://wiki.jasig.org/display/CASC/Home

Spring Security reference:http://static.springsource.org/spring-security/site/docs/3.0.x/reference/springsecurity.html

Srping Security程序及源码下载:http://static.springsource.org/spring-security/site/downloads.html

其他前辈的文章:http://yangguowen.iteye.com/blog/678498

http://www.iteye.com/topic/40129

http://liuqq.iteye.com/blog/732866

kaopu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CAS+Spring security实现单点登录之配置篇
石权的博客
09-19 1万+
CAS+Spring security实现单点登录之配置篇分清Spring securityCAS的职责CAS做了个啥 单点认证(自己YY的名词,懂就行):在CAS Server认证后,各Client都认 对不起,没其他的了,其他都是Spring security干的事情! Spring security的默默奉献 认证各个请求,认证不过,就去做身份认证 此处占两个灰常灰常重要的坑:
单点登录实现 Spring_security+CAS
01-20
通过以上步骤,你可以构建一个基于Spring SecurityCAS单点登录系统。这个过程需要对Spring SecurityCAS有深入的理解,以及一定的Java Web开发经验。通过实践和学习,你将能熟练掌握这个技术,并应用于实际项目...
SpringSecurity3整合CAS实现单点登录
foxhlc的专栏
03-26 2967
SpringSecurity本身已经做好了与CAS的集成工作,只需要我们做简单配置就可以了 步骤1 spring-cas.xml配置文件内容如下(完整版)   xml version="1.0" encoding="UTF-8"?> beans:beans xmlns="http://www.springframework.org/schema/security"     x
Spring SecurityCAS集成
最新发布
余十步的博客
06-09 485
我们在处理后端逻辑需要获得登录名,那么如何获取单点登录的用户名呢?其实和我们之前获得用户名的方式是完全相同的,我们下面来做个测试。这个类的主要作用是在登陆后得到用户名,可以根据用户名查询角色或执行一些逻辑。创建index2.html,将index2.html设置为可匿名访问。3)创建UserDetailsServiceImpl。1.修改spring-security.xml。3.创建UserController。2.创建springmvc.xml。即可在控制台看到输出的登录名。
CASSpring Security 3整合配置详解
weixin_34227447的博客
06-28 203
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security3 使用中心认证服务(CAS)进行单点登录
热门推荐
秋风扶柳笛的专栏
01-23 2万+
高级CAS配置 CAS认证框架提供了高级的配置和与CAS服务的数据交换。在本节中,我们将会介绍CAS集成的高级配置。在我们觉得重要的地方将会包含相关的CAS配置指令,但是要记住的是CAS配置是很复杂的并超出了本书的范围。   从CAS  assertion中获取属性 在CAS服务器传递ticket校验结果时,可以将基于CAS认证时查询到的信息进行传递(给CAS服务)。这些信息以键值对的方式
CAS单点登录框架整合Spring Security
03-07
CAS 包含两个部分: CAS Server 和 CAS Client ...CAS Client:就是开发过程中的web层, 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。不需要对这个部分进行过多编码,进行简单配置即可。
分布式架构单点登录+授权认证实战 CAS+SpringSecurity视频
11-13
分布式架构中的单点登录(Single Sign-On, SSO)与授权认证是现代企业级应用系统设计的关键组成部分。SSO允许用户在多个应用系统中只需登录一次,就能访问所有相互信任的应用,大大提升了用户体验。本实战课程围绕...
spring boot整合CAS Client实现单点登陆验证的示例
08-28
Spring Boot 整合 CAS Client 实现单点登录验证的示例 Spring Boot 整合 CAS Client 是一种流行的解决方案,用于实现单点登录(Single Sign-On,简称 SSO)。在多个应用系统中,用户只需要登录一次就可以访问所有...
Spring Security 3 与 CAS单点登录配置-Server
03-19
标题 "Spring Security 3 与 CAS 单点登录配置 - Server" 涉及到的是在企业级应用中实现安全访问控制的重要技术。Spring Security 是一个强大的和高度可定制的安全框架,用于保护基于 Java 的 Web 应用程序。而 CAS...
springMVC+springSecurity3.0+maven
02-29
代码自己看,eclipse 环境最好用JDK7,JDK5会出问题
Spring Security 3 与 CAS单点登录配置-Client
工作杂记
08-09 254
如果CAS配置完成。就可以进行Client的配置了。 以下Client的配置前提是你对Spring Security有一定了解。如果不熟悉,还是希望能先读一下Spring Security相关的文章。 下面是ClientSpring Security 3的最基础的配置 1.配置标签 [code="xml"] [/code] ...
3.CAS 客户端与SpringSecurity 集成
wyb_Night的博客
05-17 479
Spring Security 测试工程搭建(1)建立Maven 项目casclient_demo3 ,引入spring 依赖和spring secrity 相关依赖,tomcat端口设置为9003&lt;project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-ins...
第四部分:spring security使用cas单点登录配置
zh350229319的专栏
01-14 1万+
spring security使用cas单点登录配置
CASSpring Security 3.1整合配置详解
csl6362216的博客
09-02 115
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户授权指的是验证某个用户...
spring security cas单点登录
qian0021514578
04-24 282
cas服务端和cas客户端配好,访问cas服务端可以登录,访问客户端应用资源的时候出现拒绝访问问题 首次登录直接出现拒绝访问 cas服务端配置: cas.properties  Java代码   #server.prefix=http://localhost:8080/cas    #server.prefix=http://cas.wucht.com:8080/casSe...
SpringSecurity整合CAS配置
眼神多像云朵
04-01 550
pom.xml <packaging>war</packaging> <properties> <webVersion>3.0</webVersion> <spring.version>4.2.4.RELEASE</spring.version> </prope...
cas3.0协议规范
CherishL_的专栏
02-27 4332
原文: https://apereo.github.io/cas/4.2.x/protocol/CAS-Protocol-Specification.html 1.介绍 这是CAS 1.0, 2.0 and 3.0协议的官方规范 Central Authentication Service (CAS)是web的单点登录/单点登出(single-sign-on / single-sign...
SSO单点登录实战:Spring-SecurityCAS整合指南
"SSO单点登录全流程指南" ...总结来说,这篇资源详细介绍了如何在MyEclipse中结合Spring-SecurityCAS实现SSO单点登录的全过程,涵盖了理论知识、实践步骤和技术要点,对于开发者来说是一份宝贵的参考资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值