Tomcat实现CAS单点登录

最新推荐文章于 2023-07-11 16:51:55 发布
最新推荐文章于 2023-07-11 16:51:55 发布
阅读量912 收藏
点赞数
分类专栏: J2EE 文章标签: sso tomcat ssl cas
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixin040210/article/details/9819633
版权

Tomcat下ssl协议配置

一、生成 server key :

以命令行方式切换到目录tomcat安装目录%TOMCAT_HOME%下,在command命令行输入如下命令: 

keytool -genkey -alias tomcat -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore -validity 3600

用户名输入域名,如localhost(开发或测试用)或hostname.domainname(用户拥有的域名),其它全部以 enter 跳过,最后确认,此时会 在%TOMCAT_HOME%下生成server.keystore 文件。

 注:参数 -validity 指证书的有效期(天),缺省有效期很短,只有90天。

         
二、将证书导入的JDK的证书信任库中:
这步对于Tomcat的SSL配置不是必须,但对于CAS SSO是必须的,否则会出现如下错误:edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator。。。
          
导入过程分2步,第一步是导出证书,第二步是导入到证书信任库,命令如下:

keytool -export -trustcacerts -alias tomcat -file server.cer -keystore  server.keystore -storepass changeit
keytool -import -trustcacerts -alias tomcat -file server.cer -keystore  C:/Program Files/Java/jdk1.6.0_21/jre/lib/security/cacerts -storepass changeit

注意是把证书导入到tomcat运行的那个jre环境下

三、修改server.xml

 tomcat-5.5.35配置:

<Connector protocol="org.apache.coyote.http11.Http11Protocol"
port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="/server.keystore" keystorePass="changeit"/>

四、测试SSL

cas-server-3.1.1\modules中的cas-server-webapp-3.1.1更名为为cas.war,拷贝到Tomcat/webapps中。

启动tomcat访问 https://localhost:8443/cas/,出现CAS的登录页面则说明配置成功


Tomcat下CAS与系统的集成

一、CAS的JDBC认证

用户的认证信息通常保存在数据库中,因此本文就选用这种情况来介绍。将前面下载的 cas-server-3.1.1-release.zip 包解开后,在 modules 目录下可以找到包 cas-server-support-jdbc-3.1.1.jar,其提供了通过 JDBC 连接数据库进行验证的缺省实现,基于该包的支持,我们只需要做一些配置工作即可实现 JDBC 认证。

这里以mysql为例子:

1、打开webapps/cas/WEB-INF/deployerConfigContext.xml,添加一个新的 bean 标签:

<bean id="casDataSource" class="org.apache.commons.dbcp.BasicDataSource">
<property name="driverClassName">
 <value>com.mysql.jdbc.Driver</value>
</property>
<property name="url">
 <value>jdbc:mysql://127.0.0.1:3306/ccpms</value>
</property>
<property name="username">
 <value>root</value>
</property>
<property name="password">
 <value>tiger</value>
</property>
</bean>

 <bean id="MD5PasswordEncoder" class="org.jasig.cas.authentication.handler.Crypt"><!--自定义密码加密器-->

2、找到<bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />后注释掉,然后下面添加

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
<property name="dataSource" ref="casDataSource" />
<property name="sql" value="select staff_pwd from gf_staffs where staff_id=?" /><!--sql:根据用户名查询用户的密码-->
<property  name="passwordEncoder"  ref="MD5PasswordEncoder"/><!--配置密码加密器-->
</bean>

3、自定义密码加密器

CAS提供默认的MD5密码加密器DefaultPasswordEncoder,但是我用这个加密器不好使,可能加密方式不一样吧,所以最保险的做法就是自定义一个加密器。

见步骤1、2的配置,其中Crypt为我自定义的密码加密器,只要在其中实现PasswordEncoder接口和encode方法即可:

.....implements PasswordEncoder

public String encode(String s)
  {
    String ecd = getMD5ofStr(s);
    return ecd;
  }

JDBC认证依赖的包:

  • cas-server-support-jdbc-3.1.1.jar 拷贝到 %CATALINA_HOME%/webapps/cas/ WEB-INF/lib 目录。
  • 数据库驱动,由于这里使用mysql,mysql驱动拷贝到 %CATALINA_HOME%/webapps/cas/WEB-INF/lib 目录。对于其他数据库,同样将相应数据库驱动程序拷贝到该目录。
  • DataStore 依赖于 commons-collections-3.2.jar, commons-dbcp-1.2.1.jar, commons-pool-1.3.jar,需要到 apache 网站的 Commons 项目下载以上 3 个包放进 %CATALINA_HOME%/webapps/cas/WEB-INF/lib 目录。

二、CAS与系统的集成

1、新建两个casclient项目casTest1和casTest2,分别部署到B、C机器上(假如casserver部署在A机器上),每个项目新建一个简单的servlet,代码如下:

public class WelcomePage extends HttpServlet {
  public void doGet(HttpServletRequest request, HttpServletResponse response)
  throws IOException, ServletException
  {
    response.setContentType("text/html");
    PrintWriter out = response.getWriter();
    out.println("<html>");
    out.println("<head>");
    out.println("<title>Welcome to casTest2 sample System!</title>");
    out.println("</head>");
    out.println("<body>");
    out.println("<h1>Welcome to casTest1 sample System!</h1>");
    CASFilterRequestWrapper  reqWrapper=new CASFilterRequestWrapper(request);
    out.println("<p>The logon user:" + reqWrapper.getRemoteUser() + "</p>");
    HttpSession session=request.getSession();
    out.println("<p>The logon user:" + 
                   session.getAttribute(CASFilter.CAS_FILTER_USER)  + "</p>");
    out.println("<p>The logon user:" + 
         session.getAttribute("edu.yale.its.tp.cas.client.filter.user") + "</p>");
    out.println("</body>");
    out.println("</html>");
    }
}

2、在下载的cas-client-java-2.1.1\dist下找到casclient.jar包后复制到casTest1和casTest2的WEB-INF/lib下,下面以B举例,修改web.xml:

<web-app>

.......

<filter>
    <filter-name>CAS Filter</filter-name>
    <filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
    <init-param>
      <param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
      <param-value>https://domainA:8443/cas/login</param-value>

<!--指定 CAS 提供登录页面的 URL-->
    </init-param>
    <init-param>
      <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
      <param-value>https://domainA:8443/cas/serviceValidate</param-value>

<!--指定 CAS 提供 service ticket 或 proxy ticket 验证服务的 URL-->
    </init-param>
    <init-param>
      <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
      <param-value>domainB:8080</param-value>
<!--指定客户端的域名和端口,是指客户端应用所在机器而不是 CAS Server 所在机器,该参数或 serviceUrl 至少有一个必须指定-->
    </init-param>
  </filter>

<filter-mapping>
    <filter-name>CAS Filter</filter-name>
    <url-pattern>/*</url-pattern>

<!--根目录下的所有进行过滤-->
  </filter-mapping>

.......

</web-app>

3、测试CAS单点登录

1)在B机器IE上输入http://domainB:8080/casTest1/WelcomePage浏览器会弹出安全提示,接受后即转到 CAS 的登录页面

2)登录成功后跳转至 WelcomePage页面

可到以看图 中地址栏里的地址多出了一个 ticket 参数,这就是 CAS 分配给当前应用的 ST(Service Ticket)。

3)再在同一个浏览器的地址栏中输入 http://domainC:8080/casTest2/WelcomePage ,系统不再提示用户登录,而直接出现如下图所示的页面,并且显示在 casTest1 中已经登录过的用户。

4)重新打开一个浏览器窗口,先输入 http://domainC:8080/casTest2/WelcomePage ,系统要求登录,在登录成功过后,正确显示 casTest2 的页面。之后再在地址栏重新输入 http://domainB:8080/casTest1/WelcomePage ,会直接显示 casTest1 的页面而无需再次登录。


#多喝水#
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Tomcat9.0.x搭建CAS中央认证服务器【协议采用HTTPS】
追寻上飞的博客
03-02 1267
CAS中央认证服务器搭建软件版本软件配置1、生成key2、Tomcat配置3、CAS打包运行端口问题 软件版本 操作系统 Windows10 jre8 Tomcat 9.0.59 CAS 5.3 Tomcat下载地址,这里采用windows exe安装版本,链接在此, CAS 版本的下载地址在此。 软件配置 1、生成key 进入D:\jdk8\bin\目录,使用Java命令行工具keytool 生成key,按照提示填写字段,如密码、用户姓名等。 keytool -genkeypair -alias "t
CAS单点实战案例-Tomcat部署cas
最新发布
Grady的博客
12-15 291
CAS单点实战案例-Tomcat部署cas
cas实现单点登录-cas5.3.x服务器端搭建,并在tomcat上运行
WWXA
05-14 2549
最近公司要做一个单点登录的东西,这里记录一下步骤方便记忆 首先:对cas不了解的可以先看下官方文档,或者看下github官网 然后开门见山,直接开始搭建 我的环境: windows 7 当然10也可以 tomcat 8 最少8以上 cas 5.3 其实5.x都行 java 8 最少8以上 如果是cas6.x官网要求jdk11,但是6.x还不完善,最好不要轻易尝试,出问题也没有博客可以解决 ...
使用 CASTomcat6 中实现单点登录
Shang的专栏
04-22 1840
使用 CASTomcat6 中实现单点登录2010 年 3 月 31 日 单点登录(Single Sign On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录
tomcat下如何配置cas
ZHANGHUI3239619的专栏
12-07 497
tomcat中配置cas: 启动cmd:进入tomcat目录(进入java_home的/jre/lib/security下最好) 1、生成服务端密匙 keytool -genkey -alias casserver -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore 2、生成服务端证书 keyto
基于Java集成CAS单点登录【接部署即可启用】
12-11
基于Java中CAS单点登录,有服务端的所有源码,将tomcat目录下的所有资源直接拷到Tomcat服务中间件的webapp目录下,阅读tomcat-webapp中的read.txt文档,查看使用说明,适用于第一次开发CAS单点登录的同学们,简单...
cas tomcat整合单点登录demo
09-21
【标题】"CAS Tomcat整合单点登录Demo"是一个示例项目,展示了如何将CAS(Central Authentication Service)与Tomcat应用程序服务器集成,实现单点登录(Single Sign-On, SSO)的功能。CAS是一种开放源码的身份验证...
springboot集成CAS实现单点登录的示例代码
08-19
SpringBoot集成CAS实现单点登录是一项常见的企业级应用技术,旨在提供用户一次登录即可访问多个系统的便捷体验。CAS(Central Authentication Service)是一个开源的身份验证框架,它允许用户在一个集中的服务器上...
CAS单点登录服务端部署包
08-26
CAS 是 Central Authentication Service 的缩写 —— 中央认证服务,一种独立开放指令协议,是 Yale 大学发起的一个企业级开源项目,旨在为 Web 应用系统提供一种可靠的 SSO 解决方案。 CAS 支持以下特性: CAS v1, ...
使用 CASTomcat实现单点登录
11-07
使用 CASTomcat实现单点登录
tomcat配置单点登录
09-01
tomcat实现单点登录SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。
基于cassso 单点登录tomcat配置过程
06-27
压缩包中有详细的cas sso 的配置过程,同时提供所需的全部JAR包!
tomcat + cas
06-20
cas 服务端tomcatx64 ,cas 客户端tomcatx64-clinet1, cas 客户端tomcatx64-clinet2
castomcat中的配置
gzcj
02-25 197
        castomcat上配置时,需要打开tomcatssl功能,并且要生成证书(为了实现SSL,一个Web服务必须对每一个接受安全连接的外部接口或者IP地址有一个相关联的证书)   在&lt;TOMCAT_HOME&gt;目录下创建证书   首先生成服务端的证书: 1.     生成密钥对 keytool -genkey -alias tomcat-server -keyalg ...
Tomcat上配置CAS 自己的体验
weixin_30670965的博客
06-25 86
演示环境 本文演示过程在同一个机器上的(也可以在三台实体机器或者三个的虚拟机上),环境如下: windows732位 JDK 1.6.0_18 Tomcat 6.0.29 CAS-server-3.4.11、CAS-client-3.2.1 根据演示需求,用修改hosts 文件的方法添加域名,在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三...
搭建CAS服务(用自己的tomcat启动)
weixin_45732391的博客
02-21 1588
搭建CAS服务 一、环境: 系统:Win10 JDK:8 cas: 5.3 maven: 3.5 (jdk和tomcat已安装) 二:下载CAS5.3 CAS5.3 Server我们下载cas-overlay-template版本 下载地址:https://github.com/apereo/cas-overlay-template 下载的是个zip包。 三:编译 我们将zip包解压到当前目录,进入目录,在当前目录打开cmd,将build.cmd拖入cmd窗口,后面加上空格run,再回车。 (这种方式编
Tomcat单点登录配置及源码分析
qwer123451234123的博客
04-30 421
我们上网的时候,一定遇到过类似这样的情况,例如使用网易邮箱时进行了登录操作,之后再访问网易的博客系统时,发现自动以之前的ID登录了。这种实现在计算机中称为SSO(Single Sign On),即我们常说的单点登录。这种在关联网站间共享认证信息,避免需要在多个系统中重复输入帐户信息的行为,是SSO要解决的。 对于许多应用,可能会独立部署等情况,所以常会采用cas的形式,来实现SSO。 我们今天要了解的,是作为在同一个Tomcat中部署的应用之间,如何实现SSO,避免重复登录。 预备: 首先,有几点预
Tomcat之高可用配置
Java小菜鸟
07-11 905
作为应用层协议,HTTP是基于TCP/IP协议来传递数据的,不涉及数据包(Packet)传输,主要规定了客户端和服务器之间的通信格式。Nginx就可以避免单台服务如果挂机,依然能保证服务正常使用,当我们把项目war包部署到三台服务器上时,即使A、B服务器都挂了,依然能够通过服务器C访问项目资源!传统模型下,一个项目部署在一台tomcat上,这个时候,假如tomcat因为服务器资源不够,突然挂机了,那么整个项目就无法使用。3.IP散列:通过对访问的IP的hash结果来决定转发到哪个服务上。
TomcatCAS实现单点登录详解及配置
Tomcat环境中实现单点登录SSO)通常使用CAS(Central Authentication Service)框架,它是由Yale大学发起并由JA-SIG支持的开源解决方案。CAS的核心目标是为Web应用提供安全的单点登录功能,尤其适合企业级应用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值