1、什么是单点登录
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。
2、单点登陆一般流程
- 访问服务:SSO客户端发送请求访问系统提供的服务资源。
- 定向认证:SSO客户端会重定向客户的请求到SSO服务器进行认证。
- 发放票据:SSO服务器会产生一个随机的Service Ticket>
- 验证票据:SSO服务器验证票据Service Ticket的合法性,验证通过后,允许客户端访问服务。
- 传输用户信息:SSO服务器验证票据通过后,传输用户认证信息到客户端。
3、部署CAS服务器
首先要做的是下载war包,并且把对应的war包放到tomcat中进行启动。(我本地使用windows环境模拟,直接使用tomcat/bin/startup.bat进行启动)。
下载链接:https://download.csdn.net/download/qq_23974323/10935734
可以把war包更名为cas.war直接放到tomcat/webapp下面启动。
启动完成之后在浏览器输入http://localhost:8080/cas/login.即可看到如下界面,看到界面则表示部署成功。
4、修改CAS默认端口以及测试环境去HTTPS认证
因为这里的CAS服务端是在tomcat启动,所以直接访问的端口需要修改tomcat默认启动端口。这里不做赘述。
修改CAS的端口需要修改WEB-INF/cas.properties
在配置文件中找到server.name一栏修改为:server.name=http://localhost:9100
去除https认证需要改的地方有如下几个:
- 修改WEB-INF/deployerConfigContext.xml。需要在proxyAuthenticationHandler这个bean中添加 p:requireSecure="false"
<bean id="proxyAuthenticationHandler" class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" p:requireSecure="false" />
-
修改WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml。修改成如下,cookieSecure与https认证相关,改为false为不认证。cookieMaxAge为cookie的生命周期,-1表示无生命周期,这边改为3600。
<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="false" p:cookieMaxAge="3600" p:cookieName="CASTGC" p:cookiePath="/cas" />
sd
-
修改WEB-INF/spring-configuration/warnCookieGenerator.xml,按如下修改,其中的cookieSecure与cookieMaxAge与上一步一致。
<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="false" p:cookieMaxAge="3600" p:cookieName="CASPRIVACY" p:cookiePath="/cas" />
5、修改验证信息获取方式为数据库
这里需要修改服务端中web-inf下的deployerConfigContext.xml添加下面的配置:
<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"
p:driverClass="com.mysql.jdbc.Driver"
p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/tiger?characterEncoding=utf8"
p:user="root"
p:password="root" />
<bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"
c:encodingAlgorithm="MD5"
p:characterEncoding="UTF-8" />
<!--这里的passwordEncoder酌情添加,因为我本地的测试库没有对密码加密所以没有用到MD5-->
<bean id="dbAuthHandler"
class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"
p:dataSource-ref="dataSource"
p:sql="select password from user_t where tel = ?" />
<!--如果密码是经过MD5的可以在dbAuthHandler最后添加|p:passwordEncoder-ref="passwordEncoder"|-->
同时需要修改的还有:deployerConfigContext.xml文件中的authenticationManager这个bean。需要改ref bean为我们定义的dbAuthHandler
<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">
<constructor-arg>
<map>
<entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver" />
<!--这里是使用固定的用户名和密码,我们在下面可以看到primaryPrincipalResolver这个bean ,如果我们使用数据库认证用户名和密码,需要将这句注释掉。 -->
<!-- <entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" />-->
<entry key-ref="dbAuthHandler" value-ref="primaryPrincipalResolver"/>
</map>
</constructor-arg>
<property name="authenticationPolicy">
<bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy" />
</property>
</bean>
最后要做的是下载4个jar,放到webapps/cas/WEB-INF/lib中。
mchange-commons-java-0.2.15.jar
mysql-connector-java-5.1.32.jar
cas-server-support-jdbc-4.0.0.jar
c3p0-0.9.5.2.jar
6、配置引用CAS的小demo
demo为maven项目,首先要建两个项目,分别起名为MyCasDemo1跟MyCasDemo2
pom.xml文件如下:
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>MyCasDemo1</groupId>
<artifactId>MyCasDemo1</artifactId>
<packaging>war</packaging>
<version>0.0.1-SNAPSHOT</version>
<name>MyCasDemo1 Maven Webapp</name>
<url>http://maven.apache.org</url>
<dependencies>
<dependency>
<groupId>junit</groupId>
<artifactId>junit</artifactId>
<version>3.8.1</version>
<scope>test</scope>
</dependency>
<!-- cas -->
<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.3.3</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>2.3.2</version>
<configuration>
<source>1.7</source>
<target>1.7</target>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 这边只贴一个,另一个demo只要把port改成9002就行了 -->
<port>9001</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
<finalName>MyCasDemo1</finalName>
</build>
</project>
区别在于对应的端口一个是9001一个是9002。切记!
分别给两个demo添加web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责用户的认证工作,必须启用它 -->
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>http://localhost:9100/cas/login</param-value>
<!--这里的server是服务端的IP -->
</init-param>
<init-param>
<param-name>serverName</param-name>
<!--两个server的端口分别是9001与9002这边记得修改 -->
<param-value>http://localhost:9001</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:9100/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<!--两个server的端口分别是9001与9002这边记得修改 -->
<param-value>http://localhost:9001</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter
</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
区别在于对应的端口一个是9001一个是9002。切记!
编写一个index.jsp
<%@ page language="java" contentType="text/html; charset=utf-8"
pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>一品优购</title>
</head>
<body>
这是第一个测试demo的页面,登陆user为:
<%=request.getRemoteUser()%>
<a href="http://localhost:9100/cas/logout?service=http://localhost:9001">退出登录</a>
</body>
</html>
这里包含一个退出登陆功能,只要添加logout链接即可,后面的service为退出登陆之后跳转的界面。这里需要另作配置才能实现跳转。
具体配置如下:修改cas-servlet.xml中bean id为logoutAction的,把p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"里的"${cas.logout.followServiceRedirects:true}"由false改为true即可。
<bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction"
p:servicesManager-ref="servicesManager"
p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/>
如果不需要使用service跳转的在退出登陆那边不加"?service=..."则不需要改相应的配置。
至此,只需要启动CAS服务tomcat以及两个tomcat就可以进行验证。此时的登陆是校验数据库的,所以前提记得从数据库中找好测试用的数据。
7、修改CAS默认登陆界面。
我本地写了一个登陆界面引入js,以及css样式,界面如下:
点击登陆,登陆成功之后:
单击退出登陆会跳转到登陆界面。
完整测试代码的war包/源码zip包下载地址:https://download.csdn.net/download/qq_23974323/10935761