上篇文章介绍了SSO的原理以及5种基本流程,相信看完了之后不难理解单点登录,而CAS是SSO的一种实现方案,原理是一样的。下面介绍一下。
CAS Server:负责完成对用户的认证工作,需要独立部署,CAS Server会处理用户名/密码等凭证。
CAS Client:负责处理对客户端受保护资源的访问请求,需要对请求方进行身份认证时,重定向到CAS Server进行认证。CASClient与受保护的客户端应用部署在一起,以Filter方式保护受保护资源。
CAS请求认证图
说明:CAS Client与受保护的客户端应用部署在一起,以Filter方式保护Web应用的受保护资源,过滤从客户端过来的每一个web请求,同时,CAS Client会分析HTTP请求中是否包含请求Service Ticket,如果没有,则说明该用户是没有经过认证的;于是CAS Client会重新定向到CASServer(传递Service<要访问的资源地址>+cookie)。CAS Server验证TGT失败返回登录页面。输入认证信息,如果Credentials认证信息成功,CAS Server随机产生一个相当长度、唯一、不可伪造的Service Ticket,并缓存以待将来验证,并重定向到Service所在地址,并为客户端浏览器设置一个Ticket Granted Cookie;Cas Client 在拿到Service和新产生的Ticket过后,在CAS Server进行验证,验证成功后,进行缓存。
经过分析发现,CAS请求认证图和上篇文章的SSO认证图是大同小异的。
实例
两个CAS Client实现单点登录效果,登录进去之后显示更多的验证信息:(以tomcat中的示例example为例做测试)
服务器:tomcat 6.0
一、CAS Server部署
解压cas-server-3.5.2-release.zip(提取cas-server-3.5.2-release.zip\cas-server-3.5.2\modules\cas-server-webapp-3.5.2.war,重命名为cas.war)部署到tomcat中。
二、CAS Client配置:
1、\WEB-INF\lib下添加jar包
cas-client-core-3.2.0(cas-client-3.2.0-release.zip解压提取cas-client-3.2.0/modules/cas-client-core-3.2.0)
commons-logging-1.1.1
2、web.xml配置拦截器(client1为例)
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CASSingle Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CASSingle Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>http://localhost:8080/cas/login</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:18080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CASValidation Filter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:8080/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:18080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASValidation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--
该过滤器负责实现HttpServletRequest请求的包裹,
比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
-->
<filter>
<filter-name>CASHttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CASHttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--
该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
比如AssertionHolder.getAssertion().getPrincipal().getName()。
-->
<filter>
<filter-name>CASAssertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CASAssertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3、同理在client2的web.xml配置同上,注意修改端口号
4、页面显示更多的凭证信息
代码:HelloWorldExample.java里面添加代码:
Assertion assertion = (Assertion)request.getSession().getAttribute(
AbstractCasFilter.CONST_CAS_ASSERTION);
if (null != assertion){
out.println(" Log | ValidFromDate=:"
+assertion.getValidFromDate() + "<br>");
out.println(" Log | ValidUntilDate=:"
+assertion.getValidUntilDate() + "<br>");
Map<String, Object> attMap =assertion.getAttributes();
out.println(" Log | getAttributesMap size = " + attMap.size()
+"<br>");
for (Entry<String, Object> entry: attMap.entrySet()) {
out.println(" | " + entry.getKey() + "=:"
+entry.getValue() + "<br>");
}
AttributePrincipal principal =assertion.getPrincipal();
//AttributePrincipalprincipal = (AttributePrincipal) request
// .getUserPrincipal();
String username = null;
out.print(" Log |UserName:");
if (null != principal) {
username = principal.getName();
out.println("<spanstyle='color:red;'>" + username
+"</span><br>");
}
}
5、测试验证:
输入client1网址:http://localhost:18080/examples/servlets/servlet/HelloWorldExample
跳转到登录页面:
输入用户名,密码:admin,admin
跳转页面
看返回地址,在这里返回一个ST给client端,缓存起来。
接着访问client2,网址:http://localhost:28080/examples/servlets/servlet/HelloWorldExample,不用输入用户名和密码,跳转到client2的业务页面:
看输入链接,只有本地的链接
原理:根据Cookie验证是否已经登录
注:如果访问有问题,则修改安全认证的安全级别,cas默认的是HTTPS协议,如果对安全的要求不高,可使用HTTP协议。
修改默认协议如下:
修改deployerConfigContext.xml 增加参数p:requireSecure="false",是否需要安全验证,即HTTPS,false为不采用。
<beanclass="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"p:httpClient-ref="httpClient"
p:requireSecure="false"/>
修改ticketGrantingTicketCookieGenerator.xml(cas/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml) 中ticketGrantingTicketCookieGenerator p:cookieSecure 属性 修改为 false。
<beanid="ticketGrantingTicketCookieGenerator"class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
p:cookieSecure="false"p:cookieMaxAge="-1" p:cookieName="CASTGC"p:cookiePath="/cas" />
总结
通过cas,系统之间解耦,并且不用开发人员再单独去开发信息认证系统,统一的信息管理平台,大大简化了开发。