CAS 5.2.x 单点登录 - 搭建服务端和客户端

最新推荐文章于 2022-03-12 20:17:35 发布
最新推荐文章于 2022-03-12 20:17:35 发布
阅读量680 收藏 1
点赞数
文章标签: 开发工具 json java
原文链接:https://segmentfault.com/a/1190000013844049
版权

一、简介

单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

CAS 是一个开源的企业级单点登录系统,目前最新版本为 5.2.x
CAS 包含两个部分:CAS Server 和 CAS Client,它们之间独立部署。CAS 客户端拦截未认证的用户请求,并重定向至 CAS 服务端,由 CAS 服务端对用户身份进行统一认证。

二、搭建服务端

对于本地搭建 CAS 服务端,官方提供了基于 Maven 和 Gradle 的 Overlay 构建方式,本文用的是 CAS Maven WAR Overlay

2.1 什么是 WAR Overlay?

Overlay 技术可以把多个项目 war 合并成为一个项目,如果项目存在同名文件,那么主项目中的文件将覆盖掉其他项目的同名文件。

使用 Overlay 无需对 CAS 源码进行编译,也避免了对 CAS 源码进行侵入性改造。

2.2 环境清单

  • JDK 1.8
  • Tomcat 8.0+
  • IntelliJ IDEA 2017.2

2.3 Overlay 构建

下载 CAS Maven WAR Overlay,修改 pom.xml ,设置 CAS 版本为 5.2.2。建议去除掉 pom.xml 文件中的 wrapper-maven-plugin 和无用的 profile 配置。

<properties>
    <cas.version>5.2.2</cas.version>
</properties>

首次导入 IDEA,可以看到后台正在下载官方 cas.war。

CAS Maven Overlay

工程 overlays 目录下的文件是由 maven 编译后才产生的,可以在 pom.xml 中配置官方 cas.war 中的文件的那些文件可以排除,不要在 overlays 中生成:

<plugin>
    <groupId>org.apache.maven.plugins</groupId>
    <artifactId>maven-war-plugin</artifactId>
    <version>2.6</version>
    <configuration>
        <warName>cas</warName>
        <failOnMissingWebXml>false</failOnMissingWebXml>
        <recompressZippedFiles>false</recompressZippedFiles>
        <archive>
            <compress>false</compress>
            <manifestFile>${manifestFileToUse}</manifestFile>
        </archive>
        <overlays>
            <overlay>
                <groupId>org.apereo.cas</groupId>
                <artifactId>cas-server-webapp${app.server}</artifactId>
                <!--原有的服务不再初始化进去-->
                <excludes>
                    <exclude>WEB-INF/classes/services/*</exclude>
                    <exclude>WEB-INF/classes/application.*</exclude>
                </excludes>
            </overlay>
        </overlays>
    </configuration>
</plugin>

打开 Project Structure,可以观察到该工程具有两个 Web Root,但是 src/main/webapp 目录并不存在,需要进行手动创建。

Project Structure

拷贝 overlays 目录下的 application.properties 配置文件至 resources 目录,用于覆盖 CAS WAR 中的同名文件。最终工程目录结构如下:

Project Structure

为工程配置 tomcat 8.0 并启动,注意 CAS 5.2.x 不支持低于 tomcat 8.0 的版本。
看到控制台打印 READY 表明启动成功。

CAS Server Ready

访问 http://localhost:8080/cas/login 进入登录界面。

登录界面

其中Non-secure Connection提示需要配置 SSL,Static Authentication提示需要对用户配置进行修改,可以修改为 JDBC、REST 等方式。目前用户配置写死在 application.properties 配置文件中,用户名为 casuser,密码为 Mellon。

##
# CAS Authentication Credentials
#
cas.authn.accept.users=casuser::Mellon

2.4 Services配置

客户端接入 CAS 首先需要在服务端进行注册,否则客户端访问将提示“未认证授权的服务”警告:

未认证授权的服务

在 resources 文件夹下创建 services 文件夹进行服务定义,该目录中可包含多个 JSON 文件,其命名必须满足以下规则:

JSON fileName = serviceName + "-" + serviceNumericId + ".json"

创建 services/Localhost-10000003.json 文件,表示允许所有以 http://localhost 开头的认证请求:

{
  "@class": "org.apereo.cas.services.RegexRegisteredService",
  "serviceId": "^(http)://localhost.*",
  "name": "本地服务",
  "id": 10000003,
  "description": "这是一个本地允许的服务,通过localhost访问都允许通过",
  "evaluationOrder": 1
}

对其中属性的说明如下,更多详细内容见官方文档-Service-Management

  • @class:必须为org.apereo.cas.services.RegisteredService的实现类
  • serviceId:对服务进行描述的表达式,可用于匹配一个或多个 URL 地址
  • name: 服务名称
  • id:全局唯一标志
  • evaluationOrder:定义多个服务的执行顺序

最后,根据官方文档-service-registry,还需修改 application.properties 文件告知 CAS 服务端从本地加载服务定义文件:

#开启识别json文件,默认false
cas.serviceRegistry.initFromJson=true
#自动扫描服务配置,默认开启
#cas.serviceRegistry.watcherEnabled=true
#120秒扫描一遍
#cas.serviceRegistry.repeatInterval=120000
#延迟15秒开启
#cas.serviceRegistry.startDelay=15000
#资源加载路径
#cas.serviceRegistry.config.location=classpath:/services

启动时打印以下日志,说明服务注册成功。

2018-03-18 23:36:08,660 INFO [org.apereo.cas.services.AbstractServicesManager] - <Loaded [0] service(s) from [InMemoryServiceRegistry].>
2018-03-18 23:36:08,876 INFO [org.apereo.cas.config.CasServiceRegistryInitializationConfiguration] - <Attempting to initialize the service registry [InMemoryServiceRegistry] from service definition resources found at [class path resource [services]]>
2018-03-18 23:36:08,877 WARN [org.apereo.cas.services.ServiceRegistryInitializer] - <Service registry [InMemoryServiceRegistry] will be auto-initialized from JSON service definitions. This behavior is only useful for testing purposes and MAY NOT be appropriate for production. Consider turning off this behavior via the setting [cas.serviceRegistry.initFromJson=false] and explicitly register definitions in the services registry.>
2018-03-18 23:36:09,283 INFO [org.apereo.cas.services.AbstractServicesManager] - <Loaded [3] service(s) from [InMemoryServiceRegistry].>

三、搭建客户端

官方文档中提供了 CAS Java 客户端样例,即 cas-sample-java-webapp
修改 pom.xml,修改 tomcat7-maven-plugin 设置访问地址为http://localhost:8181/node1

<!--  tomcat7 plugin -->
<plugin>
    <groupId>org.apache.tomcat.maven</groupId>
    <artifactId>tomcat7-maven-plugin</artifactId>
    <version>2.2</version>
    <configuration>
        <port>8181</port>
        <uriEncoding>UTF-8</uriEncoding>
        <server>tomcat7</server>
        <path>/node1</path>
    </configuration>
</plugin>

CAS Client 通过拦截器将未认证的请求重定向到 CAS Server,这里对 cas-sample-java-webapp 的 web.xml 文件进行修改,将服务端、客户端地址替换为实际测试的地址:

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

<!--
   <context-param>
       <param-name>renew</param-name>
       <param-value>true</param-value>
   </context-param>
-->
    <!--单点登出过滤器-->
    <filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>http://localhost:8080/cas</param-value>
        </init-param>
    </filter>

    <listener>
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    </listener>

    <!--用来跳转登录-->
    <filter>
        <filter-name>CAS Authentication Filter</filter-name>
        <!--<filter-class>org.jasig.cas.client.authentication.Saml11AuthenticationFilter</filter-class>-->
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <param-value>http://localhost:8080/cas/login</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <!--这是客户端的部署地址,认证时会带着这个地址,认证成功后会跳转到这个地址-->
            <param-value>http://localhost:8181/node1</param-value>
        </init-param>
    </filter>

    <!--Ticket校验过滤器-->
    <filter>
        <filter-name>CAS Validation Filter</filter-name>
        <!--<filter-class>org.jasig.cas.client.validation.Saml11TicketValidationFilter</filter-class>-->
        <filter-class>org.jasig.cas.client.validation.Cas30ProxyReceivingTicketValidationFilter</filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>http://localhost:8080/cas</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://localhost:8181/node1</param-value>
        </init-param>
        <init-param>
            <param-name>redirectAfterValidation</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>useSession</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>authn_method</param-name>
            <param-value>mfa-duo</param-value>
        </init-param>
    </filter>

    <!-- 该过滤器负责实现HttpServletRequest请求的包裹,比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置-->
    <filter>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
    </filter>

    <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()-->
    <!--<filter>
        <filter-name>CASAssertion Thread LocalFilter</filter-name>
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>CASAssertion Thread LocalFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>-->

    <filter-mapping>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <filter-mapping>
        <filter-name>CAS Validation Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <filter-mapping>
        <filter-name>CAS Authentication Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <filter-mapping>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <welcome-file-list>
        <welcome-file>
            index.jsp
        </welcome-file>
    </welcome-file-list>
</web-app>

此时访问
http://localhost:8181/node1
会跳转至
http://localhost:8080/cas/login?service=http%3A%2F%2Flocalhost%3A8181%2Fnode1%2F
输入用户信息,登录成功,返回
http://localhost:8181/node1/;jsessionid=6628138DCAAA5BA3481CD4C9238FEBFF

CAS Client

利用相同的方法配置第二个客户端,访问地址为http://localhost:8282/node2,可知在 node1 登录成功的情况下,无需再次输入用户密码即可访问 node2 后台页面。

至此,开发环境搭建完毕。由于客户端只是对 web.xml 中的过滤器进行配置,可以很方便地集成到各个业务系统中。

转载请注明出处。

weixin_34150224
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CAS5.2x版本之REST验证ticket(跨系统访问资源)-yellowcong
02-08 1万+
Cas中REST的方式来验证Ticket,这种场景是解决A系统需要访问B系统需要登录权限的资源的,并不是用来解决 登录问题,这点必须很清楚。我刚开始就是不明白这个,才被坑的。在这个里面会涉及到TGT(Ticket Granting Token ,票据生成口令),哈有ST(Service ticket,服务ticket),这两个东西,TGT是有一定的存活期,而ST只有一次机会,访问后就会失效。...
cas-overlay-template-5.2.x.zip单点登录服务器
10-08
总之,`cas-overlay-template-5.2.x.zip` 是一个用于快速搭建和定制CAS 5.2.x版本服务器的工具,通过Maven构建流程,你可以生成一个可以直接部署的`cas.war`文件,从而实现自定义的单点登录服务。对于需要为多个应用...
CAS 单点登录 服务端部署
qq_20967969的博客
03-12 1407
CAS实现单点登录
CAS 5.2.x 实现SSO单点登录教程记录
X-rapido的专栏
04-25 1554
CAS SSO 单点登录记录 作者:刘仁奎 个人网址 程序喵:http://www.ibloger.net / http://www.chengxumiao.net QQ:1056856191 GitHub地址:https://github.com/X-rapido/CAS_SSO_Record 以下内容根据自己的理解编写,有不正确的地方,还望朋友们及时告知,并给出解决方案,感激...
CAS5.2x单点登录(十一)---------.net客户端对接cas
java线程池
08-25 1654
上一篇我们已经说过了java整合cas的过程及代码配置。而我们这篇就以.net来讲解,因为这两个比较特殊,目前我对接了这么多种语言的客户端,也就是java、.net在有证书的过程会出现问题,主要是我们自己生成的证书,如果是公网证书其实是不会有问题的,但是我们也要说下我们自己生成的证书下如何整合.net 这边我们也会分两部分来讲解: 1、http下的cas整合.net 2、https下的cas...
SSO之CAS单点登录实例演示
weixin_34318326的博客
07-16 243
SSO之CAS单点登录实例演示 作者: Michael 日期: 2012 年 5 月 16 日发表评论 (0)查看评论   本文目录: 一、概述 二、演示环境 三、JDK安装配置 四、安全证书配置 五、部署CAS-Server相关的Tomcat 六、部署CAS-Client相关的Tomcat 七、 测试验证SSO 一、概述 此文的目的就是为了帮助初步接触SSO和...
cas5.2服务器搭建
I can @ me
11-08 1163
    下载地址 https://github.com/apereo/cas-overlay-template 下载下来代码之后,cd 到项目根目录,执行 mvn clean install,导入开发工具,运行在tomcat 注意 CAS 5.2.x 不支持低于 tomcat 8.0 的版本 使用默认用户名和密码登陆 casuser        Mellon 数据库验证 此时的...
CAS5.2x单点登录(十)---------java客户端对接cas
java线程池
08-25 3822
好久没有写cas的文章了,最近也是比较忙,还是就是懒,我们之前讲的篇幅主要是基于cas服务端的,如果搭建服务端后,没有把cas客户端整合进来就等于没有用,接下来我们这篇文章我们会讲客户端如何接入cas,这边我们会以java和.net来说,因为这两个客户端接进来的问题会比较多,而其他语言比如python、go、php、node这些客户端接进来是没有这些问题,只要跟着文档的配置就ok了。 j...
CAS企业单点登录简介
大强博客
01-30 445
企业单点登录 - CAS提供友好的开源社区,积极支持并为项目做出贡献。虽然该项目植根于高级开放源代码,但它已发展成为跨越财富500强公司和小型专用设施的国际受众。 CAS为Web提供企业单点登录服务: 一个开放且记录良好的协议 一个开源Java服务器组件 可插拔身份验证支持(LDAP,数据库,X.509,2因子) 支持多种协议(CAS,SAML,OAuth,OpenID) Java...
CAS支持http协议
04-28 802
前置文章:CAS学习教程 前面我们已经知道,cas默认是使用https协议请求验证,https相对于http无疑在安全性是更高的,但是https协议在实际开发中会比较麻烦,首先域名访问,对于企业内网或者专网的应用系统一般都是使用ip访问,这个给cas集成造成了很大的...
Apereo CAS5.2.3 示例代码
04-04
CAS系列博客配套demo:https://blog.csdn.net/u010588262/article/category/7548325 建议看一下Server配置的博客,资源里没有带依赖包不然太大了,博客里有说明怎么添加依赖 实现了mysql查询验证,restful api
单点登录服务端项目cas-server
最新发布
07-05
单点登录服务端项目cas-server单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-...
cas.rar_cas java_cas服务端代码_单点登录
09-14
CAS(Central Authentication Service)是...综上所述,这个“cas.rar”压缩包是学习和实践CAS单点登录服务端开发的宝贵资源,通过研究其中的代码,开发者可以掌握CAS的工作原理,进而实现和定制自己的SSO解决方案。
cas-overlay-template-5.2.zip
03-30
cas实现sso单点登录cas5.2版本服务端,下载解压后需要用maven打包才能用,可以搭配shiro使用。springboot+shiro+cas搭建的一套demo可以参考我的博客https://blog.csdn.net/qq_15260315/article/details/105193599
CAS单点登录例子,包含服务端客户端
01-12
综上所述,这个压缩包提供了一个完整的CAS单点登录实例,包括服务端客户端的实现,可以帮助开发者理解并部署自己的CAS系统。通过深入研究和实践,你可以掌握如何利用CAS实现Web应用的安全、便捷的单点登录功能。
cas单点登录5.2)-使用cas-overlay-template搭建cas服务器
weixin_44606237的博客
01-03 2306
在开始之前先介绍一下CAS 官网地址:https://www.apereo.org/ Github地址:https://github.com/apereo/cas 介绍 CAS是Central Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法。 特点 开源...
CAS 5.2.x 单点登录 - 实现原理及源码浅析
weixin_34244102的博客
03-26 720
上一篇文章简单介绍了 CAS 5.2.2 在本地开发环境中搭建服务端客户端,对单点登录过程有了一个直观的认识之后,本篇将探讨 CAS 单点登录的实现原理。 一、Session 和 Cookie HTTP 是无状态协议,客户端服务端之间的每一次通讯都是独立的,而会话机制可以让服务端鉴别每次通讯过程中的客户端是否是同一个,从而保证业务的关...
CAS5.2x单点登录(五)-----service服务的讲解
java线程池
03-18 6824
cas中存在一个叫service的东西,这个service和我们平常说的不是一个东西,这个service是指cas客户端接入。只有经过cas允许的客户端才能使用cas,也就相当于我们的客户端要使用cas的前提是必须要先在cas里面注册自己的信息。这个信息就是所谓的service。 cas里面有好多方式存储这个service,比如下面的这些: 1、JSON(通过json文件存储) ...
CAS单点登录服务端客户端配置
热门推荐
ting的博客
05-17 1万+
(一) CAS单点登录服务端搭建 1.下载 先在网上下载cas-server-3.5.2,将里面的cas-server-webapp-3.5.2.war放到tomcat的webapps目录下。 (现在源码被放到github,很难下载) 2.https设置 cas单点登默认使用的是https,所以需要证书,由于是个人测试和学习用的,可以用JDK自带的keytool工具生成证书。
实现一个CAS6.x版本的单点登录
05-25
单点登录(Single Sign-On,简称SSO)是一种认证机制,...需要注意的是,CAS 6.x版本相较于之前版本有了很多改进和新特性,因此在实现CAS 6.x版本的单点登录时需要仔细阅读相关文档,并确保按照最新的指南进行操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值