CAS服务端入门使用实践

CAS服务端入门使用实践

一、前言

1.简介

CAS 是一个企业多语言单点登录解决方案，支持大量附加身份验证协议和功能，满足身份验证和授权需求的综合平台。

2.环境

• Windows 10
• JDK 1.8
• git version 2.41.0.windows.3
• Tomcat 9.0.78
• Maven 3.5.3
• cas-overlay-template-5.3

CAS Home：https://apereo.github.io/cas

cas-overlay-template - GitHub：https://github.com/apereo/cas-overlay-template/tree/5.3

REST-Protocol：https://apereo.github.io/cas/development/protocol/REST-Protocol.html

Tomcat 9：https://tomcat.apache.org/download-90.cgi

Anumbrella - CAS 专栏：https://blog.csdn.net/anumbrella/category_7765386.html

Shuyun123 - GitHub：https://github.com/Shuyun123/CAS

二、使用实践

1.编译项目

• 下载项目：https://github.com/apereo/cas-overlay-template/tree/5.3
• 解压 cas-overlay-template-5.3.zip
• 进入文件夹 cas-overlay-template-5.3

第一种编译：

• 使用 Git 命令窗口

• 右击 - Open Git Bash here

./build.sh package

第二种编译：

• CMD 窗口

build.cmd package

• CAS 编译后的目录：cas-overlay-template-5.3\target\cas

2.部署项目

• 下载 Tomcat 9：https://dlcdn.apache.org/tomcat/tomcat-9/v9.0.78/bin/apache-tomcat-9.0.78.zip

• 解压 Tomcat

• 将 target 文件夹下的 cas 文件夹拷贝到 Tomcat 中：apache-tomcat-9.0.78\webapps

• 注意：JDK 版本是1.8

• 启动 Tomcat：双击 apache-tomcat-9.0.78\bin\startup.bat

• 浏览器访问：http://127.0.0.1:8080/cas

• 默认账号密码：casuser::Mellon

• 默认账号密码配置文件：

  cas-overlay-template-5.3\target\cas\WEB-INF\classes\application.properties

3.配置HTTPS

• 登录页面的黄色背景提示内容：

非安全连接
您当前正在通过非安全连接访问 CAS。单点登录不起作用。为了进行单点登录，您必须通过 HTTPS 登录。

1）生成密钥

• JDK 的 bin 目录下执行

• 记住密码，导出证书需要使用

• 您的名字与姓氏是什么，填写域名，例如：test.org

keytool -genkey -alias mycacerts -keyalg RSA -keystore  D:/ssh-key/keycard

2）导出证书

• JDK 的 bin 文件夹下执行

keytool -export -file D://ssh-key/keycard.crt -alias mycacerts -keystore D:/ssh-key/keycard

3）Tomcat配置HTTPS

• 编辑 apache-tomcat-9.0.78\conf\server.xml

• 新增 8443 端口的 HTTPS 配置

• 修改具体的密钥路径和密钥库口令（与生成密钥时相同）

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
               maxThreads="150" SSLEnabled="true"
               maxParameterCount="1000"
			   scheme="https" secure="true" clientAuth="false" sslProtocol="TLS"
			   keystoreFile="D:/ssh-key/keycard"   
			   keystorePass="123456"
               >
</Connector>

4）配置 hosts 文件

• 编辑 C:\Windows\System32\drivers\etc\hosts
• 与生成密钥时相同

127.0.0.1 test.org

5）测试

• 关闭科学上网软件（无则忽略）

• 浏览器访问：https://test.org:8443/cas

4.未认证授权的服务

• 客户端跳转提示：

未认证授权的服务
CAS的服务记录是空的，没有定义服务。 希望通过CAS进行认证的应用程序必须在服务记录中明确定义。

（1）编辑 cas\WEB-INF\classes\services\HTTPSandIMAPS-10000001.json

• 加入 http 的支持

{
  "@class" : "org.apereo.cas.services.RegexRegisteredService",
  "serviceId" : "^(https|imaps|http)://.*",
  "name" : "HTTPS and IMAPS",
  "id" : 10000001,
  "description" : "This service definition authorizes all application urls that support HTTPS and IMAPS protocols.",
  "evaluationOrder" : 10000
}

（2）编辑 cas\WEB-INF\classes\application.properties

#是否开启json识别功能,默认为false
cas.serviceRegistry.initFromJson=true
#忽略https安全协议，使用 HTTP 协议
cas.tgc.secure=false

5.二次开发

1）登录认证方式

认证方式	依赖包
白名单	cas-server-support-generic
黑名单
JDBC 认证
Shiro 认证	cas-server-support-shiro-authentication
Rest 认证	cas-server-support-rest-authentication
自定义登录认证	cas-server-core-authentication-api cas-server-core-configuration-api

2）修改CAS服务端登录界面

（1）隐藏头部和底部

• 编辑：cas\WEB-INF\classes\templates\layout.html

<body>
<!-- <div th:replace="fragments/header :: header">
    <a href="fragments/header.html">Header</a> fragment will go here
</div> -->

<main role="main" class="container mt-3 mb-3">
    <div layout:fragment="content" id="content">
        CAS content will go here
    </div>
</main>

<!-- <div th:replace="fragments/footer :: footer">
    <a href="fragments/footer.html">Footer</a> fragment will go here
</div> -->

<script th:replace="fragments/scripts"/>
</body>

（2）隐藏右侧 Links to CAS Resources

• 编辑：cas\WEB-INF\classes\templates\casLoginView.html

<body class="login">
<main role="main" class="container mt-3 mb-3">
    <div layout:fragment="content" class="row">
        <div class="col-md">
            <div th:replace="fragments/loginform :: loginform"><a href="fragments/loginform.html">Login Form goes
                here</a></div>
        </div>
        <div id="notices" class="col-md mt-3 mt-md-0">
            <!-- <div th:replace="fragments/insecure :: insecure"><a href="fragments/insecure.html">insecure alert goes
                here</a></div>
            <div th:replace="fragments/defaultauthn :: staticAuthentication">
                <a href="fragments/defaultauthn.html">defaultAuthn</a>
                fragment
            </div>
            <div th:replace="fragments/cookies :: cookiesDisabled"><a href="fragments/cookies.html">cookies</a> fragment
            </div>
            <div th:replace="fragments/serviceui :: serviceUI"><a href="fragments/serviceui.html">service ui</a> fragment</div>
            <div th:replace="fragments/loginProviders :: loginProviders"><a href="fragments/loginProviders.html">loginProviders</a>
                fragment
            </div>
            <div th:replace="fragments/cas-resources-list :: cas-resource-list">
                <a href="fragments/cas-resources-list.html">cas-resource</a> list fragment
            </div> -->
        </div>
    </div>
</main>
</body>

（3）隐藏登录按钮下的提示

• 编辑：cas\WEB-INF\classes\templates\fragments\loginform.html

<!-- <div th:replace="fragments/loginsidebar :: loginsidebar" /> -->

（4）登录界面左侧显示图片

• 拷贝图片到文件夹：cas\WEB-INF\classes\static\images

• 编辑：cas\WEB-INF\classes\static\css\cas.css

#notices {
  border-color: #008;
  color: #008;
  background-image: url(../images/login_img.png);
}

（5）更换浏览器标签页图标

• 替换图片文件：cas\WEB-INF\classes\static\favicon.ico