CAS单点登录实战

最新推荐文章于 2024-05-22 13:47:47 发布
最新推荐文章于 2024-05-22 13:47:47 发布
阅读量1k 收藏
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013341688/article/details/53607420
版权

搞了老半天,单点登录终于弄好了,此文是初步接触单点登录的入门指南,分享一下:


准备环境

  • windows7 64位
  • JDK 1.6.0_10
  • Tomcat 6.0.20(准备三份tomcat,分别名为tomcat-6.0.20-app1,tomcat-6.0.20-app2,tomcat-6.0.20-cas-server,修改startup和shutdown的端口)
  • CAS-server-4.0.0CAS-client-3.3.3
步骤:

1、修改 hosts 文件

C:\Windows\System32\drivers\etc\hosts 文件中添加三条 
127.0.0.1    server.cas.com
127.0.0.1    app1.cas.com
127.0.0.1    app2.cas.com
  • server.cas.com    =>> 对应部署cas server的tomcat(tomcat-6.0.20-cas-server),这个虚拟域名还用于证书生成
  • app1.cas.com       =>>  对应部署app1 的tomcat(tomcat-6.0.20-app1
  • app2.cas.com       =>> 对应部署app2 的tomcat(tomcat-6.0.20-app2
2、安全证书配置

使用JDK自带的keytool工具进行安全证书配置(详细运用
2.1、生成证书
打开命令提示符(cmd), 到JDK下bin所在的路径:

因为我想将生成的证书存在某一个文件夹下,但是执行下面的命令(D:\keystore\ssodemo.keystore)会报权限或者找不到的错误,所以直接放在D 盘下.
 
keytool -genkey -alias ssodemo -keyalg RSA -keysize 1024 -keypass michaelpwd -validity 365 -keystore D:\ssodemo.keystore -storepass michaelpwd  
有一点需要注意:keypass 和 storepass 两个密码要一致,否则tomcat 配置https 访问失败

      
     2.2、导出证书

             keytool -export -alias ssodemo -keystore D:\ssodemo.keystore -file D:\ssodemo.crt -storepass michaelpwd
             

      
      2.3、客户端导入证书   
         
            keytool -import -keystore %JAVA_HOME%\jre\lib\security\cacerts2 -file D:\ssodemo.crt -alias ssodemo
               

              至此,我们就能在%JAVA_HOME%\jre\lib\security\下看到名为cacerts2的文件了。
 




3、部署CAS-Server相关的Tomcat

    3.1、配置HTTPS
   
           打开  tomcat-6.0.20-cas-server\conf下的service.xml
           修改为: 
        <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"               
			   keystoreFile="D:/ssodemo.keystore" keystorePass="michaelpwd"
	           clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8"/>

            参数说明:

                              keystoreFile 就是4.1中创建证书的路径

                              keystorePass 就是4.1中创建证书的密码

      

       3.2、配置cas-service

               找到cas-server-webapp-4.0.0.war,命名为casTest.war,将该war包放到tomcat-6.0.20-cas-server/webapp下

               启动该tomcat,在浏览器输入  http://server.cas.com:8443/casTest/login,若显示如下界面,说明service端配置成功。

                

4、部署CAS-Client相关的Tomcat
 

     CAS-Client 下载地址:http://downloads.jasig.org/cas-clients/

     以cas-client-3.2.1-release.zip 为例,解压提取cas-client-3.2.1/modules/cas-client-core-3.2.1.jar

     随便找一个简单的web项目,命名为client, 将 cas-client-core-3.2.1.jar放到该web项目下,分别将项目放到

     tomcat-6.0.20-app1和tomcat-6.0.20-app2中。     

     

     4.1、配置tomcat-6.0.20-app1

              
               打开tomcat-6.0.20-app1\webapps\client\WEB-INF\web.xml
               在web.xml的最前面添加cas的配置:
                
          <!-- ======================== 单点登录开始 ======================== -->
	        <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
			<!-- 注意:CAS登录Filter必须在所有web应用程序Filter之前 -->
	        <listener>
	            <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
	        </listener>
	 
	        <!-- 该过滤器用于实现单点登出功能,可选配置。 -->
	        <filter>
	            <filter-name>casSignOutFilter</filter-name>
	            <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
	        </filter>
	        <filter-mapping>
	            <filter-name>casSignOutFilter</filter-name>
	            <url-pattern>/*</url-pattern>
	        </filter-mapping>
	 
	        <filter>
	            <filter-name>casFilter</filter-name>
	            <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
	            <init-param>
	                <param-name>casServerLoginUrl</param-name>
					<!-- 单点登录服务器 -->
	                <param-value>https://service.cas.com:8443/casTest/login</param-value>
	            </init-param>
	            <init-param>
	                <param-name>serverName</param-name>
					<!-- client-1 -->
	                <param-value>http://app1.cas.com:8060</param-value>
	            </init-param>
	        </filter>
	        <filter-mapping>
	            <filter-name>casFilter</filter-name>
	            <url-pattern>/*</url-pattern>
	        </filter-mapping>
                <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
	        <filter>
	            <filter-name>casValidationFilter</filter-name>
	            <filter-class>
	                org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
	            <init-param>
	                <param-name>casServerUrlPrefix</param-name>
	                <param-value>https://service.cas.com:8443/casTest</param-value>
	            </init-param>
	            <init-param>
	                <param-name>serverName</param-name>
                <param-value>http://app1.cas.com:8060</param-value>
	            </init-param>
	        </filter>
	        <filter-mapping>
	            <filter-name>casValidationFilter</filter-name>
	            <url-pattern>/*</url-pattern>
	        </filter-mapping>
	 
	        <!--
	            该过滤器负责实现HttpServletRequest请求的包裹,
	            比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
                -->
	        <filter>
	            <filter-name>casHttpServletRequestWrapperFilter</filter-name>
	            <filter-class>
	                org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
	        </filter>
                 <filter-mapping>
	            <filter-name>casHttpServletRequestWrapperFilter</filter-name>
	            <url-pattern>/*</url-pattern>
	        </filter-mapping>
	 
	       <!--
	        该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
	        比如AssertionHolder.getAssertion().getPrincipal().getName()。
	        -->
	        <filter>
	            <filter-name>casAssertionThread LocalFilter</filter-name>
	            <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
	        </filter>
	        <filter-mapping>
                    <filter-name>casAssertionThread LocalFilter</filter-name>
	            <url-pattern>/*</url-pattern>
                 </filter-mapping>
	 
	   <!-- ======================== 单点登录结束 ======================== -->
  
     4.2、配置tomcat-6.0.20-app2  
 
               
              打开tomcat-6.0.20-app1\webapps\client\WEB-INF\web.xml
              在web.xml的最前面添加cas的配置:        
               
           <!-- ======================== 单点登录开始 ======================== -->
	        <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
			<!-- 注意:CAS登录Filter必须在所有web应用程序Filter之前 -->
	        <listener>
	            <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
	        </listener>
	 
	        <!-- 该过滤器用于实现单点登出功能,可选配置。 -->
	        <filter>
	            <filter-name>casSignOutFilter</filter-name>
	            <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
	        </filter>
	        <filter-mapping>
	            <filter-name>casSignOutFilter</filter-name>
	            <url-pattern>/*</url-pattern>
	        </filter-mapping>
	 
	        <filter>
	            <filter-name>casFilter</filter-name>
	            <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
	            <init-param>
	                <param-name>casServerLoginUrl</param-name>
					<!-- 单点登录服务器 -->
	                <param-value>https://service.cas.com:8443/casTest/login</param-value>
	            </init-param>
	            <init-param>
	                <param-name>serverName</param-name>
					<!-- client-2 -->
	                <param-value>http://app2.cas.com:8070</param-value>
	            </init-param>
	        </filter>
	        <filter-mapping>
	            <filter-name>casFilter</filter-name>
	            <url-pattern>/*</url-pattern>
	        </filter-mapping>
                <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
	        <filter>
	            <filter-name>casValidationFilter</filter-name>
	            <filter-class>
	                org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
	            <init-param>
	                <param-name>casServerUrlPrefix</param-name>
	                <param-value>https://service.cas.com:8443/casTest</param-value>
	            </init-param>
	            <init-param>
	                <param-name>serverName</param-name>
                <param-value>http://app2.cas.com:8070</param-value>
	            </init-param>
	        </filter>
	        <filter-mapping>
	            <filter-name>casValidationFilter</filter-name>
	            <url-pattern>/*</url-pattern>
	        </filter-mapping>
	 
	        <!--
	            该过滤器负责实现HttpServletRequest请求的包裹,
	            比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
                -->
	        <filter>
	            <filter-name>casHttpServletRequestWrapperFilter</filter-name>
	            <filter-class>
	                org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
	        </filter>
                 <filter-mapping>
	            <filter-name>casHttpServletRequestWrapperFilter</filter-name>
	            <url-pattern>/*</url-pattern>
	        </filter-mapping>
	 
	       <!--
	        该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
	        比如AssertionHolder.getAssertion().getPrincipal().getName()。
	        -->
	        <filter>
	            <filter-name>casAssertionThread LocalFilter</filter-name>
	            <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
	        </filter>
	        <filter-mapping>
                    <filter-name>casAssertionThread LocalFilter</filter-name>
	            <url-pattern>/*</url-pattern>
                 </filter-mapping>
	 
	   <!-- ======================== 单点登录结束 ======================== -->

            注意,如果不用域名来配置的,而用localhost代替的话,登录成功可能后会报:
            错误信息:javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No name matching localhost found
                         Caused by: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No name matching localhost found 

        
        4.3、修改casServiceValidationSuccess.jsp文件 

                注意:默认cas登录服务器没有把用户信息传到客户端中,所以要修改WEB-INF\view\jsp\protocol\2.0\casServiceValidationSuccess.jsp文件,
               增加:              
                
<c:if test="${fn:length(assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes) > 0}">  
   <cas:attributes>  
      <c:forEach var="attr" items="${assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes}">       
         <cas:${fn:escapeXml(attr.key)}>${fn:escapeXml(attr.value)}</cas:${fn:escapeXml(attr.key)}>                        
      </c:forEach>    
   </cas:attributes>  
</c:if>

               后台获取登录的用户名可以用这种方式获取:
                
AttributePrincipal principal = (AttributePrincipal)request.getUserPrincipal();   
String username = principal.getName();

5、验证单点登录
 
        分别启动tomcat ,
       tomcat-6.0.20-cas-server,tomcat-6.0.20-app1,tomcat-6.0.20-app2
        在浏览器输入:http://app1.cas.com:8060/client后,就会跳转到cas的默认登录界面
        输入正确后,跳转到client的首页,
        再次浏览器输入:http://app2.cas.com:8070/client后,直接跳转到client的首页,说明单点配置登录成功。
               





草衣
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CAS4.1反序列化漏洞vulhub
m0_46580995的博客
07-31 2623
CAS 复现环境vulhub Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。 漏洞原理使用了默认密钥changeit public class EncryptedTranscoder implements Transcoder { private CipherBean cipherBean; private boolean co
DS_Store文件泄漏总结
王嘟嘟的博客
04-08 1万+
0x00 前言 导航:https://blog.csdn.net/qq_36869808/article/details/88895109 0x01 基础 .DS_Store是Mac下Finder用来保存如何展示文件//文件夹的数据文件,每个文件夹下对应一个。由于开发/设计人员在发布代码时未删除文件夹中隐藏的.DS_store,可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露。 0x02 漏洞...
cas5.3.9单点登录-总结遇到的坑
神奇de旋风的博客
06-28 1万+
cas5.3.9单点登录-总结遇到的坑前言cas简介术语解释Ticket Grangting Ticket(TGT)Ticket Granting Cookie(TGC)Service Ticket(ST)图解TGC与TGTServer与Client交互过程项目搭建项目文档项目二次开发项目二次开发遇到的问题SSL证书申请cas ticket过期策略cas client单机-单点退出cas clie......
Apereo CAS 4.1 反序列化命令执行漏洞
最新发布
shierbai的博客
05-22 415
Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。然后我们登录CAS并抓包,将Body中的`execution`值替换成上面生成的Payload发送。访问`http://your-ip:8080/cas/login`即可查看到登录页面。漏洞原理实际上是Webflow中使用了默认密钥`changeit`如果报错试试换java版本。
Apereo-cas 4.x反序列化漏洞复现
技术超强的网络安全平台
08-02 366
放假前看到很多文章对这个漏洞进行分析复现,又因为过年期间的特殊情况,实在是无聊至极,所以自己也来学习一下,顺便恶补一下反序列化漏洞的知识。这篇文章记录了自己的一些想法以及相关的知识点,方便自己日后忘记可以重新拾起。第一次写文章有不好的,希望大家见谅。
Apereo CAS 4.1 反序列化 RCE 漏洞漏洞复现
weixin_56537388的博客
11-09 285
Apereo CAS 是一个企业单点登录系统。CAS 尝试通过 Apache Commons Collections 库反序列化对象时存在问题,这导致了 RCE 漏洞。
CAS单点登录
05-04
大白快速了解CAS,需要实战视频内容私聊.。。。。。。。。。。。。。。。。。。
分布式架构单点登录+授权认证实战 CAS+SpringSecurity视频
11-13
分布式架构中的单点登录(Single Sign-On, SSO)与授权认证是现代企业级应用系统设计的关键组成部分。SSO允许用户在多个应用系统中只需登录一次,就能访问所有相互信任的应用,大大提升了用户体验。本实战课程围绕...
实战项目对接单点登录
01-05
总的来说,这个实战项目展示了如何在实际开发环境中通过拦截器和Shiro框架实现单点登录功能,为用户提供更便捷、安全的登录体验。理解并掌握这些技术对于提升Web应用程序的安全性和用户体验具有重要意义。
Java进阶SSO单点登录技术CAS-快速上手与原理探究视频教程
06-09
本课程主要通过CAS来实现SSO,本教程会从最基本的基础知识讲起,由浅入深再到实战,完成多应用的单点登录功能。 本课程内容如下: 1、 什么是SSO和CAS 2、 CAS Server服务端和客户端的搭建和配置 3、 单点登录和单...
项目实战:SSO单点登录方案
06-09
SSO(Single Sign-On)单点登录是一种网络访问控制机制,允许用户在一次登录后,无需再次认证即可访问多个相互信任的应用系统。本项目实战主要围绕两种SSO解决方案展开,分别是基于Cookie跨域特性和使用第三方框架...
CAS破解思路
04-29
描述了CAS破解的具体思路,可以帮助用户找到破解CAS的具体办法
Apereo-cas反序列化漏洞复现
weixin_50464560的博客
04-01 1754
1.简介 参考链接: 项目地址:https://github.com/apereo/cas 官网:CAS - Home 简介:Apereo CAS 单点登录系统使用介绍 · dataviz CAS 全称是Central Authentication Service(中心认证服务),它是一个单点登录(Single-Sign-On)协议,Apereo CAS是实现该协议的软件包,且Apereo CAS是目前Java服务器环境下使用最为广泛的单点登录系统。 2|0Apereo CAS 4.1 反序列
安全系列之CAS系统
lishinho的博客
06-21 3346
前言 本期介绍一下CAS(Central Authentiction Service )中心认证服务,以Apereo CAS工程为核心讲解CAS是怎么解决商业级系统SSO(single sign-on)认证问题的。 目录 前言 一,SSO与SLO 二,CAS系统架构 三,CAS client 四 , CAS server 五,CAS protocol 一,SSO与SLO 在介绍CAS工作之前,要先从SSO的故事讲起。SSO(single sign-on)单点登陆和SLO(single .
Apereo CAS 反序列化漏洞
公众号shadow sock7
03-18 1万+
下载cas-4.1.5 放到tomcat的webapps目录下,自动解压。 运行成功之后返回登陆页面: 登陆的接口发现有一个execution参数: 直接base64并没有得到有意义的字符: 在这里: org/springframework/webflow/mvc/servlet/FlowHandlerAdapter#handle开始处理, 对于没有execution(GET login页面...
2小时学会CAS+Security实现单点登录
02-29
   本课程全程使用目前比较流行的开发工具idea进行开发,涉及到目前互联网项目中最常用的高并发解决方案技术, 如  dubbo,redis,solr,freemarker,activeMQ,springBoot框架,微信支付,nginx负载均衡,电商活动秒杀,springSecurity安全框架,FastDFS分布式文件服务器,还会涉及到代码生成器,   前台的技术有angularJS和BootStrap框架,此课程内容丰富实战性强,如果你还是传统项目的开发人员,那你学完本课程会有很大的收获,让你的薪资上涨,5K以上,让你完全感受到了互联网思维带来的高并发解决方案的思路,如果你是开发的小白,建议你学完Spring,SpringMVC,MyBatis框架后再来学习本门课程,学完以后会让你完全体验到企业级开发的流程.在职开发人员学完后会让你的薪资更高,让你更了解互联网是如何解决高并发 学完SSM框架的同学就可以学习,能让你切身感受到企业级开发环境目标1:搭建单点登录服务端,开发单点登录客户端目标2:实现CAS 认证数据源设置目标3:更换CAS 登录页面目标4:掌握CAS与SpringSecurity集成 目标5:完成用户中心单点登录功能 
CAS实现单点登录(SSO)经典完整教程
small_love的专栏
08-06 16万+
一、简介 1、cas是有耶鲁大学研发的单点登录服务器 2、本教材所用环境 Tomcat7.2JDK6CAS Service 版本 cas-server-3.4.8-rele
CAS实现单点登录SSO执行原理探究(终于明白了)
热门推荐
javaloveiphone的专栏
09-05 20万+
一、不落俗套的开始1、背景介绍单点登录:Single Sign On,简称SSO,SSO使得在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。CAS框架:CAS(Central Authentication Service)是实现SSO单点登录的框架。2、盗一张学习CAS绝大多都看过的图以及执行部分分析注:已分不清原创,此处就不给出地址了。 从结构上看,CAS包含两个部分:C
Retrofit中的注解原理项目实战
bugyinyin的博客
12-05 835
今天我们来聊聊这个最近很火的网络请求库retrofit,在此基础上会延伸出一些列的知识点。现在关于retrofit的文章很多,我之所以写这篇文章的原因在于:8月份负责假设新客户端底层的过程中首次尝试使用该库,并取得非常不错的效果,不到20天的时间内实现新产品的快速开发。 另外因为个人的原因,在写完基础框架及发布两个基础版本之后,我也选择的离职。现在,留给自己10天的时间,用来对2016年做个简短的总结,也希望能帮助各位。首先简单的说说会总结哪方面的,觉得感兴趣的同学可以关注下: 网络请求及优化,以retr

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值