Tomcat认证授权实现SSO

最新推荐文章于 2019-11-20 20:26:36 发布
最新推荐文章于 2019-11-20 20:26:36 发布
阅读量2.1k 收藏
点赞数
分类专栏: tomcat 文章标签: sso ldap tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lost_wen/article/details/56664626
版权

Tomcat认证授权实现SSO

本文档旨在说明如何采用Tomcat的Single Sign-On来为网站开启ldap认证,从而实现用户Login一次之后,可以访问同一Server上的不同Webapp。

一、       OpenLDAP安装配置

1.下载安装OpenLDAP for windows版本,默认安装即可

2.修改slapd.conf配置文件

      补全include:

include              ./schema/core.schema

include              ./schema/cosine.schema

include              ./schema/nis.schema

include              ./schema/inetorgperson.schema

include              ./schema/openldap.schema

include              ./schema/dyngroup.schema

include              ./schema/collective.schema

include              ./schema/corba.schema

include              ./schema/duaconf.schema

include              ./schema/java.schema

include              ./schema/kerberos.schema

include              ./schema/misc.schema

include              ./schema/pmi.schema

include              ./schema/ppolicy.schema

       声明自己的后缀和管理员:

       suffix            "dc=ZTE,dc=com"

       rootdn          "cn=admin,dc=ZTE,dc=com"

       rootpw    admin

3.打开系统服务,重启服务OpenLDAP

4. 创建my.ldif文件,其中定义了两个用户(tom&jerry),和两个角色(red&black),文件内容如下

# Define top-level entry

dn: dc=ZTE,dc=com

objectClass: dcObject

objectClass: organization

o: ZTE

dc:ZTE

 

# Define an entry to contain people

# searches for users are based on thisentry

dn: ou=people,dc=ZTE,dc=com

objectClass: organizationalUnit

ou: people

 

# Define a user entry

dn: uid=tom,ou=people,dc=ZTE,dc=com

objectClass: inetOrgPerson

uid: tom

sn: jones

cn: janet jones

mail: j.jones@ZTE.com

userPassword: tom

 

# Define a user entry for Fred Bloggs

dn: uid=jerry,ou=people,dc=ZTE,dc=com

objectClass: inetOrgPerson

uid: jerry

sn: bloggs

cn: fred bloggs

mail: f.bloggs@ZTE.com

userPassword: jerry

 

# Define an entry to contain LDAP groups

# searches for roles are based on thisentry

dn: ou=groups,dc=ZTE,dc=com

objectClass: organizationalUnit

ou: groups

 

# Define an entry for the "red"role

dn: cn=red,ou=groups,dc=ZTE,dc=com

objectClass: groupOfUniqueNames

cn: red

uniqueMember: uid=tom,ou=people,dc=ZTE,dc=com

uniqueMember:uid=jerry,ou=people,dc=ZTE,dc=com

 

# Define an entry for the "black"role

dn: cn=black,ou=groups,dc=ZTE,dc=com

objectClass: groupOfUniqueNames

cn: black

uniqueMember:uid=jerry,ou=people,dc=ZTE,dc=com

5.打开LdapAdmin管理工具,导入my.ldif文件

 

二、       配置Tomcat build-in SSO

1. 修改server.xml

      添加realm:

  <!-- <RealmclassName="org.apache.catalina.realm.UserDatabaseRealm"

              resourceName="UserDatabase"/> -->

         <Realm  className="org.apache.catalina.realm.JNDIRealm"

                connectionName="cn=admin,dc=ZTE,dc=com"

                connectionPassword="admin"

                 connectionURL="ldap://10.43.163.175:389"

                 userPassword="userPassword"

                  userPattern="uid={0},ou=people,dc=ZTE,dc=com"                  

                         roleBase="ou=groups,dc=ZTE,dc=com"

                         roleName="cn"

                       roleSearch="(uniqueMember={0})"

         />

放开host下面的SSO配置:

<ValveclassName="org.apache.catalina.authenticator.SingleSignOn" />

2.修改两个项目的web.xml

       <security-constraint>

         <web-resource-collection>

              <web-resource-name>result</web-resource-name>

              <url-pattern>/index.html</url-pattern>

         </web-resource-collection>

         <auth-constraint>

           <role-name>red</role-name>

              <role-name>black</role-name>

         </auth-constraint>

 </security-constraint>

 

 <login-config>

     <auth-method>FORM</auth-method>

     <realm-name>Example Form-Based AuthenticationArea</realm-name>

     <form-login-config>

       <form-login-page>/login.html</form-login-page>

              <form-error-page>/login.html</form-error-page>       

     </form-login-config>

   </login-config>

 

 <security-role>

         <role-name>red</role-name>

       </security-role>

       <security-role>

         <role-name>black</role-name>

       </security-role>

3.设计登录页面

<formaction="j_security_check" method="post">

   Username<input type="text" name="j_username"/><br />

   Password<input type="password" name="j_password"/><br />

   <input type="submit" value="login" />

</form>

  *注意form中的action以及user和password的input的name属性,“j_security_check","j_username"和"j_password"这些是固定的,严格遵循J2EE规范。

  4.重启tomcat,访问项目发现会自动跳转到登录页面,成功登录后两个项目之间即共享用户登录信息。

 

三、       如何获取当前登录用户信息

原本都习惯在login以后,把一些login用户信息放到session里面的. 现在认证都交给container去做了,我们的webapp怎么拿到login用户信息呢? 确实,现在我们的webapp能做的,只有从request里面拿到login用户的remoteUser了。

              String remoteUser = request.getRemoteUser();

       只有通过安全认证后才能获取remoteUser相关信息,否则remoteUser==null。

 

四、       退出用户登录

只需要执行session.invalidate(),然后跳转到登出页面即可。

 

五、       FBA(Form-based Authentication)的缺陷

1. login的过程无法被干预。我们无法通过添加filter的形式进行干预。login完全交给web容器处理,页面也是有web容器负责展示。

2. 直接访问login.html是无法提交form的。login只能在访问受保护资源的时候才会被触发。

 

六、       名词解释

Realm:

      Realm是web容器所持有的用户集合。无论tomcat, glassfish,jboss还是websphere,均是符合j2ee规范或最佳实现。Realm是需要网站系统管理员进行配置的。常见的Realm有三种:数据库,LDAP和文件系统。数据库realm是指用户信息都存在数据库中,Ldap则存放在ldap中,文件系统的realm则是用户信息按照一定的格式,存放于文件中。Realm是认证的关键,web容器会将用户输入的用户名和密码跟realm中的用户信息进行比对。当比对成功的时候,认证也就成功了。

Role:

      这是授权的部分。当Realm被配好以后,系统管理员可以为realm中的用户分配角色。建立用户role-mapping.每次用户通过web容器的认证以后,web容器会将其role信息也查询出来,放入用户信息中。

User:

      区别一个用户的唯一识别。(此处未使用)

security-constraint:

      这是web应用web.xml中的配置。 一个web应用将在web.xml中声明其受保护的资源,并声明某种角色可以访问受保护的资源。

auth-method:

      一般认证方式分为Basic Authentication(BA)和Form-basedAuthentication(FBA)。若使用BASIC方式,当你去访问受保护认证的资源时,浏览器会弹出一个小窗口让你输入用户名和密码。FORM是可以自己写login画面的,当然html对form内容有些规定(要符合j2ee和container的要求)。此外还有其他的如DIGEST、CLIENT-CERT。

realm-name:

      这个realm-name是这个webapp的认证realm名,注意几个处于同一SSO下的webapp,他们的realm-name要设成一样的值。 如果不设成一样,那么换一个webapp就要重新认证一次,达不到SSO的效果。

 

七、       参考文章

https://my.oschina.net/xpbug/blog/198765

http://bbs.csdn.net/topics/390203738

 

lost_wen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat配置ssl-单点登录(sso).rar
11-12
这个文档是经过我将近两个星期的研究,证实了其中文档的真实性和可用性,只要你跟着文档里面的步骤配置和实施,绝对实现cas单点登录(sso),包括跨域访问cas
Tomcat中采用基于表单的安全验证
weixin_34378922的博客
03-04 153
1、概述 (1)基于表单的验证 基于From的安全认证可以通过TomcatServer对Form表单中所提供的数据进行验证,基于表单的验证使系统开发者可以自定义用户的登陆页面和报错页面。这种验证方法与基本HTTP的验证方法的唯一区别就在于它可以根据用户的要求制定登陆和出错页面。 通过拦截并检查用户的请求,检查用户是否在应用系统中已经创建好login session。如果没...
TOMCAT实现基于表单验证的登陆方式
阿牛博客
10-23 1264
TOMCAT实现基于表单验证的登陆方式参考了网上的一些同仁的文章,作了伟大实践,成功了,感觉果然不错另外对密码作了些处理,如存在密文(MD5加密)在登陆页面时,提交数据之前,用JS,对用户输入的密码也进行MD5加密,再进行后台数据(密码也进行了MD5加密)匹配,如果匹配成功(密码密文匹配密文)在一定程序上,也可防止密码泄漏!因为MD5是单身加密,在网络上传输的密码也是密文!数据
Tomcat的Form安全认证
404
10-18 924
最近使用Tomcat的安全认证发现了一些问题
Tomcat认证授权与简单的SSO
weixin_34007879的博客
02-12 604
为什么80%的码农都做不了架构师?>>> ...
tomcat配置单点登录
09-01
Tomcat中的SSO实现】在Tomcat实现SSO,通常依赖于Realm。Realm是Tomcat中的认证模块,负责验证用户身份和角色。Tomcat提供了多种内置的Realm,如JDBCRealm用于从关系数据库中获取认证信息,DataSourceRealm通过...
SSO CAS 整理 - 页面备份
10-28
CAS 5.x支持Java客户端接入,使得应用程序可以与CAS服务器进行交互,实现用户的认证授权。这通常涉及到CAS客户端库的集成,如`cas-client-core`,并配置客户端的认证URL和服务器证书。 3. **OAuth2.0协议集成**...
使用 CAS 在 Tomcat6 中实现单点登录
04-14
总结来说,实现使用CAS在Tomcat6中进行单点登录,需要理解SSO的基本概念,熟悉CAS的工作原理和协议流程,掌握CAS Server的部署和配置,以及CAS Client在Tomcat中的集成。通过这些步骤,可以构建一个安全且方便的单点...
sso单点登录 java代码
10-17
1. **身份验证框架**:Java中的SSO实现常使用Apache Shiro、Spring Security等框架。这些框架提供了丰富的功能,包括认证授权、会话管理等,为SSO提供了基础支持。 2. **票据管理**:SSO的核心是票据(Ticket),...
用CAS实现框架的SSO单点登录
10-12
- **SSO认证中心**:负责统一认证授权管理的中心节点,所有认证请求都会被重定向至此。 SSO实现遵循以下三个原则: 1. **统一认证**:所有用户的登录操作均需通过SSO认证中心完成。 2. **凭证验证**:SSO认证...
sso单点登录
08-13
在Java Servlet环境下实现SSO,可以利用Servlet容器(如Tomcat)提供的会话管理功能,以及自定义过滤器来处理登录和验证流程。下面将详细介绍SSO的原理、实现步骤以及Java Servlet如何应用。 **SSO原理** 1. **...
java sso示例
04-13
2. **Tomcat Realm**:在Tomcat应用服务器中,Realm是用于身份验证和授权的组件。在SSO场景下,我们需要配置Tomcat来识别和处理CAS提供的票据。 3. **Spring Security**:这是一个强大的安全框架,提供了与CAS集成...
cas-server sso单点登录服务端
01-07
CAS-server SSO服务端就是这个核心服务的实现,它作为一个中央认证服务,负责验证用户的凭证,并为其他应用提供授权决策。 在实现SSO的过程中,CAS-server扮演的角色是认证代理,它处理用户的身份验证请求,验证...
springboot+cas5.x+shiro+pac4j实现sso集成
05-18
Apache Shiro是一个Java安全框架,它处理认证授权、会话管理和加密等功能。在SSO环境中,Shiro作为SpringBoot应用的客户端,负责拦截请求,检查用户是否已经通过CAS进行了身份验证,并根据CAS返回的票证进行后续...
sso完整demo,可直接运行
01-23
解压并部署这个应用到一个支持Servlet容器(如Tomcat)上,将作为所有其他受保护应用的认证中心。 接下来,`cas-sample-site1.zip`和`cas-sample-site2.zip`是两个示例网站,它们模拟了需要SSO保护的独立应用。这两...
tomcat中配置安全认证
JAVA-JS资源共享、技术交流平台
03-19 1491
Tomcat -- 安全认证 About 做过WEB项目的都知道,一但涉及用户,我们不得不为用户登录写一堆繁杂的验证代码。当然Spring AOP的诞生为我们的权限管理提供了不少的便利。甚至你也以用自己写的Filter(过滤器)来对你的程序进行登录时的验证。今天在这里和大家分享一种更为简便的方法,它就是Java Web的安全验证机制。       这种机制是对立地WEB的容器之上的,如
SpringBoot中的表单校验,异常处理,热部署
qq_43364293的博客
11-20 415
1. SpringBoot服务端数据-实现添加用户功能 (1)创建一个Maven的jar工程。 (2)修改POM文件添加Web启动器与Thymeleaf坐标。 (3)在项目中使用Thymeleaf编写一个添加用户的视图。 (4)创建一个Controller处理添加用户请求。 @Controller public class UsersController { @RequestMap...
【JSP/SERVLET】Tomcat内置表单身份验证
厚积薄发者,轻舟万重山
06-16 2592
一、概述     前面是扯犊子的,JSP/SERVLET基于HTTP规范,提供了几种安全支持,BASIC、DIGEST、FORM、CLIENT-CERT,本文主要介绍一下FORM的安全支持开发,文末有一个小demo用于展示。     因为FORM方式比较少用,因此本文介绍的原理点到即止,并没
使用Tomcat 9验证Https单向认证和双向认证
ONS_cukuyo的博客
01-26 4525
一、生成根证书颁发机构的密钥库 keytool -genkeypair -v -keystore root.p12 -storetype pkcs12 -storepass 123456 -alias 我是根证书 -keyalg RSA -keysize 2048 -validity 36500 二、生成服务器密钥库 keytool -genkeypa
SSO入门:单点登录技术详解与实现
8. **OpenAM**:Oracle的统一身份管理解决方案,提供了完整的SSO解决方案集,包括认证授权和审计等功能。 9. **LoongSSO**:这是一个国内知名的开源SSO项目,专为中国企业环境设计,具备良好的兼容性和易用性。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值