单点登录之CAS

CAS单点登录实践
最新推荐文章于 2021-02-25 09:59:52 发布
原创 最新推荐文章于 2021-02-25 09:59:52 发布 · 216 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了CAS单点登录系统的搭建过程,包括CASServer的部署与配置,以及两个客户端应用程序的具体实现方式。通过实例演示了如何实现单点登录功能。

CAS介绍

CAS Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 2004 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点:

1】开源的企业级单点登录解决方案。

2CAS Server 为需要独立部署的 Web 应用。

3CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括

Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

从结构上看,CAS 包含两个部分: CAS Server CAS ClientCAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。下图是 CAS 最基本的协议过程:

SSO 单点登录访问流程主要有以下步骤:

  1. 访问服务:SSO 客户端发送请求访问应用系统提供的服务资源。
  2. 定向认证:SSO 客户端会重定向用户请求到 SSO 服务器。
  3. 用户认证:用户身份认证。
  4. 发放票据:SSO 服务器会产生一个随机的 Service Ticket
  5. 验证票据:SSO 服务器验证票据 Service Ticket 的合法性,验证通过后,允许客户端访问服务。
  6. 传输用户信息:SSO 服务器验证票据通过后,传输用户认证结果信息给客户端。

 

CAS 服务端部署

 

Cas 服务端其实就是一个 war 包。

在资源\cas\source\cas-server-4.0.0-release\cas-server-4.0.0\modules 目录下

cas-server-webapp-4.0.0.war  将其改名为 cas.war 放入 tomcat 目录下的 webapps 下。启动 tomcat 自动解压 war 包。浏览器输入 http://localhost:8080/cas/login  ,可看到登录页面

 

不要嫌弃这个页面丑,我们后期可以再提升它的颜值。暂时把注意力放在功能实现上。

这里有个固定的用户名和密码   casuser Mellon

登录成功后会跳到登录成功的提示页面

 

 

 CAS 服务端配置

 

1 端口修改

如果我们不希望用 8080 端口访问 CAS, 可以修改端口

1)修改 TOMCAT 的端口

打开 tomcat 目录 conf\server.xml  找到下面的配置

 

将端口 8080,改为 8081  

2)修改 CAS 配置文件 修改 cas WEB-INF/cas.properties 

server.name=http://localhost:8081 

2 去除 https 认证

       CAS 默认使用的是 HTTPS 协议,如果使用 HTTPS 协议需要 SSL 安全证书(需向特定的机构申请和购买) 。如果对安全要求不高或是在开发测试阶段,可使用 HTTP 协议。我们这里讲解通过修改配置,让 CAS 使用 HTTP 协议。

1)修改 cas WEB-INF/deployerConfigContext.xml         找到下面的配置

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationH andler"

p:httpClient-ref="httpClient"/>

这里需要增加参数 p:requireSecure="false"requireSecure 属性意思为是否需要安全验证,即 HTTPSfalse 为不采用

2)修改 cas /WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml 找到下面配置

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"       p:cookieSecure="true"       p:cookieMaxAge="-1"       p:cookieName="CASTGC"       p:cookiePath="/cas" />

参数 p:cookieSecure="true",同理为 HTTPS 验证相关,TRUE 为采用 HTTPS 验证,FALSE 为不采用 https 验证。

参数 p:cookieMaxAge="-1",是 COOKIE 的最大生命周期,-1 为无生命周期,即只在当前打开的窗口有效,关闭或重新打开其它窗口,仍会要求验证。可以根据需要修改为大于 0 的数字,比如 3600 等,意思是在 3600 秒内,打开任意窗口,都不需要验证。

我们这里将 cookieSecure 改为 false ,  cookieMaxAge 改为 3600

3)修改 cas WEB-INF/spring-configuration/warnCookieGenerator.xml

找到下面配置

<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASPRIVACY" p:cookiePath="/cas" />

我们这里将 cookieSecure 改为 false ,  cookieMaxAge 改为 3600

 

CAS 客户端入门小 Demo

 

1)客户端工程 1 搭建 (端口9001)

pom文件

 <dependencies>
        <!-- cas -->
        <dependency>
            <groupId>org.jasig.cas.client</groupId>
            <artifactId>cas-client-core</artifactId>
            <version>3.3.3</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
            <scope>provided</scope>
        </dependency>

 </dependencies>

<plugins>
        <plugin>
            <groupId>org.apache.tomcat.maven</groupId>
            <artifactId>tomcat7-maven-plugin</artifactId>
            <configuration>
                <!-- 指定端口 -->
                <port>9001</port>
                <!-- 请求路径 -->
                <path>/</path>
            </configuration>
        </plugin>

</plugins>

web.xml

 <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
    <listener>

        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    </listener>
    <!-- 该过滤器用于实现单点登出功能,可选配置。 -->
    <filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- 该过滤器负责用户的认证工作,必须启用它 -->
    <filter>
        <filter-name>CASFilter</filter-name>
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <param-value>http://localhost:8081/cas/login</param-value>
            <!--这里的server是服务端的IP -->
            <!--下面是访问服务端是带的参数,自身的ip地址作为得到结果后重定向返回的地址-->
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://localhost:9001</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CASFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
    <filter>
        <filter-name>CAS Validation Filter</filter-name>
        <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>http://localhost:8081/cas</param-value>
            <!--校验票据访问的地址,下面是带的参数,自身的ip地址作为得到结果后重定向返回的地址-->
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://localhost:9001</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Validation Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过
  HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
    <filter>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <filter-class>
            org.jasig.cas.client.util.HttpServletRequestWrapperFilter
        </filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
    <filter>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

index.jsp

 

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>cas1</title>
</head>
<body>
    欢迎来到cas测试1~~~~

    <%=request.getRemoteUser()%>

</body>
</html>

2)客户端工程 2 搭建 ​​​​​​​(端口9002)

 

pom文件

 <dependencies>
        <!-- cas -->
        <dependency>
            <groupId>org.jasig.cas.client</groupId>
            <artifactId>cas-client-core</artifactId>
            <version>3.3.3</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
            <scope>provided</scope>
        </dependency>

 </dependencies>

<plugins>
        <plugin>
            <groupId>org.apache.tomcat.maven</groupId>
            <artifactId>tomcat7-maven-plugin</artifactId>
            <configuration>
                <!-- 指定端口 -->
                <port>9002</port>
                <!-- 请求路径 -->
                <path>/</path>
            </configuration>
        </plugin>

</plugins>

web.xml

 <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
    <listener>

        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    </listener>
    <!-- 该过滤器用于实现单点登出功能,可选配置。 -->
    <filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- 该过滤器负责用户的认证工作,必须启用它 -->
    <filter>
        <filter-name>CASFilter</filter-name>
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <param-value>http://localhost:8081/cas/login</param-value>
            <!--这里的server是服务端的IP -->
            <!--下面是访问服务端是带的参数,自身的ip地址作为得到结果后重定向返回的地址-->
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://localhost:9002</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CASFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
    <filter>
        <filter-name>CAS Validation Filter</filter-name>
        <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>http://localhost:8081/cas</param-value>
            <!--校验票据访问的地址,下面是带的参数,自身的ip地址作为得到结果后重定向返回的地址-->
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://localhost:9002</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Validation Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过
  HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
    <filter>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <filter-class>
            org.jasig.cas.client.util.HttpServletRequestWrapperFilter
        </filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
    <filter>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

index.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>cas2</title>
</head>
<body>
欢迎来到cas测试2~~~~

<%=request.getRemoteUser()%>

</body>
</html>

测试

1)启动cas server

2 ) 启动客户端1,客户端2

访问:http://localhost:9001/

第一次登录会跳转到登录界面

 

输入账号密码:

点击LOGIN

再访问http://localhost:9002/

这就是单点登录的效果

Nan_南大
关注
单点登录cas集成sonar
邓邓子的博客
03-21 2619
下载链接:https://github.com/cloudogu/sonar-cas-plugin/releases
单点登录CAS SSO从入门到精通(第二天)
打造全国最全的AI Agent开发知识领域的博客
02-22 1万+
啊。。。。。。沙滩,阳光,笔记本往膝上一搁,开始写博客。第一次没在国内过年,避开了吃吃吃,感觉真好,人也觉得轻松多了。上次说到了CAS SSO最基本的使用方法,并且我们结合了一个数据库表来实现了我们自定义用户名和密码的单点登录功能。今天我们将要开始把我们的CAS SSO一步步往更深更专业的层次推进下去,我们先来看一下CAS SSO在结合WINDOWS AD域(此处我们使用open-ldap)来实现
CAS单点登录
qq_39817135的博客
09-17 356
一、什么是单点登录单点登录(single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的 session 是无法解决的,我们需要使用相关的单点登录技术来解决。 [外链图片转存失败(img-...
Cas认证原理
八神庵的博客~
09-20 3724
1.cas相当于一个web应用,应配置在一台电脑上,作为cas认证服务器。首先有三个URL: 登录URL:cas的登录认证url(假设为:https://cas/login) 验证URL:cas的验证ticket(票据)url 登出URL:cas的登出url(假设为:https://cas/logout)1、浏览器首先访问页面(假设为:https://myweb/weblogin),filet
CAS 实现单点登录(SSO)返回更多用户信息(五)
何静媛
04-19 2万+
配置转换器返回更多用户信息 从cas server登录成功后,默认只能从cas server得到用户名。但程序中也可能遇到需要得到更多如姓名,手机号,email等更多用户信息的情况。 cas client拿到用户名后再到数据库中查询,的确可以得到关于该用户的更多信息。 但是如果用户登录成功后,直接从cas server返回给cas client用户的详细信息,这也是一个不错的做法。这个好处,
HttpServletRequest
扮猪吃老虎二号的博客
01-11 295
一、HttpServletRequest介绍   HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,通过这个对象提供的方法,可以获得客户端请求的所有信息。 二、Request常用方法 2.1、获得客户机信息   getRequestURL方法返回客户端发出请求时的完整URL。  getRequest...
CAS单点登录(第7版)
最新发布
02-16
CAS单点登录(Single Sign-On)是目前广泛使用的一种用于Web应用程序的认证协议,允许用户在多个应用系统中使用同一套登录凭证进行访问。CAS提供了一个可靠的、可扩展的认证系统,支持多种不同客户端和服务器端技术...
sso单点登录cas配置全过程
08-22
此文档自己亲手从0开始一步一步配置的详尽过程,其中包括keytool创建 、ticket、tomcat配置cas、自定义登录页面,处理服务器返回的乱码,服务退出、cas服务器返回多数据等等文档 包括SSO原理图,以及认证流程图等
单点登录CAS SSO从入门到精通
09-11
单点登录CAS SSO从入门到精通
HttpServletRequest中getRemoteUser和getUserPrincipal方法
weixin_30378623的博客
06-24 4941
HttpServletRequest是一个接口类,继承自ServletRequest,并且又新增了许多抽象方法,getRemoteUser()方法和getUserPrincipal()方法就在其中。许多web项目中会定义基于HttpServletRequest的实现类,比如shiro中的ShiroHttpServletRequest,该类中对getRemoteUser和getUserPrincip...
JSP学习记录
weixin_34001430的博客
01-11 190
JSP学习记录 JSP学习记录 鉴于使用印象笔记有时遇到代码块下难以增加空格,和一贯喜欢markdown的方式,及导出HTML的便捷,之后的文档记录部分改用此记录. 1.JSP的工作原理和基础标签(什么是JSP?) 全名 Java Server Pages ,如名解释: 它是建立在 Servlet 规范之上的动态网页开发技术. 其中,HTML代码...
jsp HttpServletRequest
zhuyu19911016520
07-28 3582
HttpServletRequest应用_李晖晖的个人总结(第五次课) 分类: 2012_JavaWeb2012-11-07 13:07 9735人阅读 评论(1) 收藏 举报 目录(?)[+] 深入体验JavaWeb开发内幕——关于HttpServletRequestRequest对象 HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,H
request.getRemoteUser() 方法
陕西小伙伴网络科技有限公司-技术博客
09-01 3万+
很多安全认证里面,只要认证通过之后都会有一个getRemoteUser 方法可以获取到用户名,那么这个getRemoteUser 的值是怎么去设置的呢? 写一个类集成HttpServletRequestWrapper 重写getRemoteUser  方法 然后写一个filter拦截所有请求。 在filter 给下面执行的时候不传request 而是传 咱们刚刚重写的那个类对象。 (以下
单点登录CAS原理和实现
热门推荐
金玉良缘
11-14 11万+
1.开源单点登录系统CAS入门1.1 什么是单点登录单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。1.2 什
CAS单点登录的实现
qq_41816640的博客
02-25 3903
这篇文章对CAS单点登录具体实现的一些步骤就行讲述,至于CAS单点登录的实现原理分析,请参看下面这篇文章:CAS单点登录原理分析(一) https://blog.csdn.net/qq_41258204/article/details/84036875 CAS 包含两个部分:CAS Server和CAS Client。 CAS Server:其实就是一个war包,CAS框架已经提供。只需要把部署到web服务器上即可,主要负责对用户的认证工作。 在文章末尾的示例项目中提供。 CAS Clien...
改造CAS单点登录 --- 自定义登陆页面(客户端)
任何技能都是从模仿开始,逐步升华。
02-13 2万+
修改版本cas-client-3.2.1和cas-server-3.5.2,功能使用maven构建     通过自定义认证过滤器,添加登录页面路径处理。废话不多说了,直接上代码。 一、修改cas-client-core工程 1.自定义认证过滤器RemoteAuthenticationFilter package org.jasig.cas.client.authentication;
SpringMVC项目对接CAS服务端实现单点登录
Nicky's blog
09-04 6269
业务场景:之前写过CAS服务端的例子,也对接过基于SpringBoot的CAS,不过最近项目要对接第三方的CAS实现单点登录,而我们项目是基于SpringMVC的,所以就摸索了一下对接方案
单点登录CAS SSO从入门到精通(第一天)
打造全国最全的AI Agent开发知识领域的博客
02-14 4万+
啊。。。。。。it's quite a long time。好久没更新博客了,有一年之久了,一直在忙于公司的一些项目。2014年到2015年工作太忙,对于一些经常跟我博客的读者们深深说一声抱歉。同时,也在新的一年将到之际,祝各位新春愉快,羊年洋洋洋。好了,废话少说,开始我们架构师之路的新的历程,SSO-单点登录。什么是单点登录?什么是SSO?SSO就是单点登录!!!SSO即Single Sign
CAS单点登录实施指南
资源摘要信息: "CAS 单点登录指导文档" 本文档是关于CAS(Central Authentication Service,中央认证服务)单点登录系统的详细指导资料。CAS是由耶鲁大学开发的一款开源的单点登录解决方案,旨在为Web应用系统提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值