1.什么是单点登录
特别注意
本文讲的是CAS单点登录CAS4.0.0版本,CAS默认认证方式使用的事HTTPS协议,一般对安全性不高的话建议取消改成HTTP方式,因为开启的话会经常提示证书过去,需要用户确认等,对客户感知不好。当前有需要可以开启。
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
举例:上豆瓣,要登录豆瓣FM、豆瓣读书、豆瓣电影、豆瓣日记,如果我们访问豆瓣读书、豆瓣电影、豆瓣日记都需要进行一次登录认证,那么用户体验是非常不好的。所以引用了单点登录。只要一次登录就可以访问所有相互信任的应用系统。
单点登录机制:
上图实现用Cookie进行验证登录
2.实现方法
2.1 CAS服务端
准备工作tomcat一个更改端口号
解压下载的cas-server4.0.0服务端压缩包,找到cas-server-4.0.0\modules\cas-server-webapp-4.0.0.war文件解压到tomcat中的webapps下然后可以配置取消HTTPS协议换成HTTP协议
(1)打开cas-server\WEB_INF\deployerConfigContext.xml文件,找到id是proxyAuthenticationHandler配置
在后面添加配置
将HTTPS协议换成HTTP协议。当然你不换也行,不过就需要证书了。
(2)打开cas-server\WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml文件
找到id是ticketGrantingTicketCookieGenerator进行配置
将true改成flase,即不开启HTTPS验证
(3)打开cas-server\WEB-INF\spring-configuration\warnCookieGenerator.xml文件,找到id是warnCookieGenerator
将true改为flase,即不开启HTTPS验证。
服务端这就配置好了。
(4)启动tomcat运行CAS,访问localhost:8080/cas-server
运行成功。下面该登录了。
4.0以上版本的登录用户名密码在deployerConfigContext.xml配置文件中可以看到
<bean id="primaryAuthenticationHandler" class="org.jasig.cas.authentication.AcceptUsersAuthenticationHandler"> <property name="users"> <map> <entry key="casuser" value="Mellon"/> </map> </property> </bean>
用户名casuser密码Mellon
4.0以下版本用户名跟密码保持一致就可以登录成功,如图
服务端就算搭建成功了。
2.2在服务端配置数据库用户名密码,跟数据库连接登录
服务端配置成功,当然我们的单点登录要跟数据库项目来关联的。服务端只配置跟数据库连接就行了
(1)修改deployerConfigContext.xml配置文件
将这块注释掉
新增bean数据库连接
新增bean编写登录sql语句
另外需要将c3p0-0.9.1.2.jar包、mysql-connector-java-5.1.21.jar包和cas-server-support-jdbc-4.0.0.jar这三个jar导入到lib下。
在修改id为authenticationManager的bean
红框内注释掉
再次运行Tomcat,访问https://localhost:8443/cas/login就能进行数据库验证了。
客户端配置
将下面这一段配置到你的项目中的web.xml文件中就可以了
<!--用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
<context-param>
<param-name>casServerLogoutUrl</param-name>
<param-value>http://localhost:8083/cas-server-webapp-4.0.0/logout</param-value>
</context-param>
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!--该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CASSingle Sign OutFilter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CASSingle Sign OutFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>http://localhost:8083/cas-server-webapp-4.0.0/login</param-value> <!--服务端的地址-->
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value> <!--客户端的地址-->
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CASValidationFilter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:8083/cas-server-webapp-4.0.0</param-value><!--服务端的地址-->
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value> <!--客户端的地址-->
</init-param>
</filter>
<filter-mapping>
<filter-name>CASValidationFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
<filter>
<filter-name>CASHttpServletRequest WrapperFilter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter
</filter-class>
</filter>
<filter-mapping>
<filter-name>CASHttpServletRequest WrapperFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
<filter>
<filter-name>CASAssertion Thread LocalFilter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CASAssertion Thread LocalFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- ========================单点登录结束 ======================== -->