jasig cas java示例_CAS Demo

最新推荐文章于 2024-08-15 09:20:02 发布
最新推荐文章于 2024-08-15 09:20:02 发布
阅读量481 收藏
点赞数
文章标签: jasig cas java示例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36301989/article/details/115038785
版权

#SSL证书

CAS服务端进行登陆验证时一般使用HTTPS协议,此时需要提供证书。

证书可以使用JDK自带工具生成,其中证书私钥需要存放到CAS服务端,供Tomcat的SSL端口配置使用(获取其他容器);证书公钥则存放到客户端应用程序运行的JDK中。

##keytool生成证书

JDK自带的keytool工具可以生成证书,示例命令:keytool -genkey -keystore "D:\localhost.keystore" -alias localhost -keyalg RSA

keytool -genkey -keystore "D:\localhost.keystore" -alias localhost -keyalg RSA

输入密钥库口令:

再次输入新口令:

您的名字与姓氏是什么?

[Unknown]: localhost

您的组织单位名称是什么?

[Unknown]: invengo.cn

您的组织名称是什么?

[Unknown]: invengo.cn

您所在的城市或区域名称是什么?

[Unknown]: beijing

您所在的省/市/自治区名称是什么?

[Unknown]: beijing

该单位的双字母国家/地区代码是什么?

[Unknown]: cn

CN=localhost, OU=invengo.cn, O= invengo.cn, L=beijing, ST=beijing, C=cn是否正确

?

[否]: y

输入 的密钥口令

(如果和密钥库口令相同, 按回车):

再次输入新口令:

##Tomcat/Jetty使用证书配置SSL端口

Tomcat中配置SSL端口的方法是,打开conf/server.xml文件,找到:

替换为:

secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="D:\localhost.keystore"

keystorePass="123456"/>

注意keystorePass是生成证书时输入的密码。

特殊情况下,还需要Connectors还需要加入下列内容,否则chrome浏览器无法正常访问:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"

如果是使用内嵌的Jetty服务器,则在pom.xml中配置:

org.mortbay.jetty

jetty-maven-plugin

8.1.8.v20121106

/sso-server

8080

60000

8443

60000

${project.basedir}/localhost.keystore

123456

123456

同时把证书文件localhost.keystore拷贝到项目根目录下(根据配置)。

##客户端JDK导入证书公钥

客户端运行JDK需要导入证书的公钥,方法还是使用keytool工具:

首先执行命令生成公钥:

keytool -export -alias localhost -file d:\localhost.cer -keystore d:\localhost.keystore

然后执行命令导入到JDK:

keytool -import -alias localhost -file "D:/localhost.cer" -noprompt -trustcacerts -storetype jks -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass 123456

如果出现导入失败,则把%JAVA_HOME%/jre/lib/security目录下的cacerts文件删除。

##单机/多机部署的问题

注意,生成证书时,当提示“您的名字与姓氏是什么?”的时候不能输入IP地址,否则错误!!

需要使用域名代替IP地址,例如使用localhost代替本机,或者使用在HOSTS中配置域名。

假如把服务端和客户端应用都部署到同一台机器上的同一个Tomcat服务器中,那么生成证书的时候,可以使用localhost作为域名。

此时服务端和客户端都使用同一个Tomcat进行部署,所以需要把服务端和客户端都配置为不同的服务(service),具体方法是修改conf/service.xml文件。

示例如下:

connectionTimeout="20000"

redirectPort="8443"/>

maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

keystoreFile="d:/localhost.keystore" keystorePass="123456"

clientAuth="false" sslProtocol="TLS"

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"/>

resourceName="UserDatabase"/>

unpackWARs="true" autoDeploy="true">

prefix="localhost_access_log." suffix=".txt"

pattern="%h %l %u %t "%r" %s %b"/>

connectionTimeout="20000"

redirectPort="9443"/>

resourceName="UserDatabase"/>

unpackWARs="true" autoDeploy="true"

xmlValidation="false" xmlNamespaceAware="false">

这里分别配置了2个Service,其中Catalina是Tomcat默认的配置,这里在原配置基础上添加了SSL端口的配置。Catalina指定webapps为部署目录,把服务端程序部署到这里。

而Catalina2是新增的Service,指定mywebapps为部署目录,把客户端程序部署到这里。

如果希望在不同机器的不同Tomcat上分别部署服务端和客户端程序,那么生成证书的时候需要指定域名为服务端所在机器的域名!

例如这个有2台机器,IP分别是10.10.10.1和10.10.10.156,这里吧10.10.10.1作为服务端,首先修改这2台机器的HOSTS文件:

10.10.10.1 server.com

10.10.10.156 service.com

然后生成机器的是,提示您的名字与姓氏是什么?的时候输入server.com!

有了证书后再生成公钥,最后把公钥导入客户端所在的JDK,即10.10.10.156机器上面的JDK!

因为这里分别把服务端和客户端程序部署到各自的Tomcat中,所以Tomcat不需要再配置新的Service,但是别忘了服务端Tomcat上的SSL端口还是需要的!

#CAS实现单点登陆

Jasig CAS包括服务端和客户端,其中服务端负责登陆校验功能和ticket验证。集成CAS的完整登陆过程大致为:

用户访问客户端应用,例如http://service.com:90900/sso-service,应用判断用户没有登陆,重定向到CAS服务端的登陆页面,例如https://server.com:8443/sso-server/login?service=http://service.com:9090/sso-service/cas。

注意这里的判断不会使用到CAS的服务区或者客户端,可以在代码中自己实现,或者使用框架,例如shiro中配置如下内容:

还有地址为什么是https://server.com:8443/sso-server/login?service=http://service.com:9090/sso-service/cas这样的形式?

首先https://server.com:8443/sso-server/login是CAS服务端暴露的登陆地址,负责进行用户密码的校验。

而service后面的地址http://service.com:9090/sso-service/cas则是客户端暴露的用于获取ticker的地址,也就是后面所说的服务端验证成功后调整到客户端的地址。

请求到达服务端后显示登陆页面,输入用户名、密码进行登陆;

如果登陆成功则服务端跳转到http://service.com:9090/sso-service/cas?ticket=ST-1-eh2cIo92F9syvoMs5DOg-cas01.example.org,注意url带了一个ticket,此时处理流程到达客户端;

客户端会根据这个请求url提取ticket,然后又提交到服务端验证这个ticket是否有效;

服务端这时候验证ticket,如果有效则返回用户身份信息给客户端;

客户端根据身份信息就能知道用户登陆成功;

这时候如果访问其它配置的客户端应用,会直接提交ticket到服务端进行验证,这样就不需要再次登陆了!

根据上述信息,可以知道即需要一个负责验证用户名/密码和ticket的服务端,也需要一个提取ticket并提交服务端验证的客户端应用!

##sso server

Maven项目pom.xml核心配置项如下:

org.jasig.cas

cas-server

4.0.0

4.0.0

cas-server-sample

war

org.jasig.cas

cas-server-webapp-support

4.0.0

其中一定要声明parent节点为org.jasig.cas:cas-server,这样就会自动下载这个模块依赖的文件。然后再添加org.jasig.cas:cas-server-webapp-support依赖。

接下来到github上下载cas某个版本的压缩文件,例如4.0.0版,把里面的cas-server-webapp模块的resource目录和webapp目录下的文件拷贝到当前项目的对应位置。

当前项目依赖了org.jasig.cas:cas-server后,自动添加一些插件,例如checkstyle、license等。当使用jetty:run命令其中项目时,某些插件可能执行出错。

这时候有两种解决方法:

一种时根据插件的要求解决,一般这些插件的错误都是缺失某些文件造成的。从下载的压缩包中一般都包含了这些文件;

在pom.xml文件配置命令,跳过这些插件,例如:

maven-checkstyle-plugin

true

com.mycila.maven-license-plugin

maven-license-plugin

true

这里跳过了checkstyle和license2个插件。

运行配置:

org.mortbay.jetty

jetty-maven-plugin

8.1.8.v20121106

/${project.build.finalName}

8080

60000

8443

60000

${project.basedir}/localhost.keystore

123456

123456

注意:

这里配置8443作为SSL连接的端口,应用程序(客户端)需要访问这个端口进行密码与ticker的验证!!**

同时配置了SSL证书文件localhost.keystore,这是用JDK自带的keytool工具生成的。

##sso-client

这里使用shiro框架集成CAS的客户端功能。

首先配置依赖:

org.springframework

spring-core

4.0.0.RELEASE

org.springframework

spring-webmvc

4.0.0.RELEASE

org.apache.shiro

shiro-core

1.2.4

org.apache.shiro

shiro-web

1.2.4

org.apache.shiro

shiro-spring

1.2.4

org.apache.shiro

shiro-cas

1.2.4

javax.servlet

javax.servlet-api

3.1.0

provided

javax.servlet.jsp

jsp-api

2.2

javax.servlet

jstl

1.2

可以看到这里用到了shiro作为权限控制框架。

接着根据参考资料的说明,配置shiro请求过滤规则,也就是shiro-web.xml的内容:

value="https://server:8443/sso-server/login?service=http://service.com:9090/sso-service/cas"/>

casFilter

/casValidationUrl.jsp = anon

/cas = casFilter

/logout = logout

/** = user

这里有几个注意的地方:

casServerUrlPerfix是服务端验证地址,casService是客户端获取ticket的地址;

SecurityManager需要把subjectFactory修改为CasSubjectFactory;

客户端获取ticket的url地址需要用CasFilter进行拦截;

登陆url的值应该为:casServiceUrlPrefix + login?service + casService的格式;如果这里缺少了service参数值则不会进行重定向跳转

最后运行的时候,需要把SSL证书的公钥添加到本地JDK中,然后配置jetty测试运行环境(在pom.xml中):

org.mortbay.jetty

jetty-maven-plugin

8.1.8.v20121106

/sso-client

9090

60000

9443

60000

${project.basedir}/localhost.keystore

123456

123456

与服务端一样,主要是配置SSL端口与SSL证书。此时运行jetty:run,客户端就能正常运行。

##自定义登陆页面

参考资料:

修改casLoginView.jsp,或者自定义JSP,并修改resource/default_views.properties文件中的对应值。

#原理解析

##login请求的处理过程

核心类AuthenticationViaFormAction,这里还用到了Spring Web Flow,有必要了解一下(配置文件login-webflow.xml)。

starry天南星
关注
单点登录cas综述之cas4.2.7服务端+cas客户端+示例程序+环境搭建说明-陈杰
pucao_cug的专栏
04-15 1万+
      1环境搭建以及把示例程序跑起来          1.1  安装jdk1.8          1.2 下载tomcat8+cas4.2.7服务端war+cas客户端war                   1.2.1下载经过配置的Tomcat8和本教程配套文件                   1.2.2下载配置好的cas4.2.7服务端的war包        ...
cas做的一个Demo
05-18
Tomcat6.0.29 JDK6 CAS Server版本:cas-server-3.4.10 CAS Client版本:cas-client-3.2.1
CAS 搭建demo
12-26
CAS客户端服务端基本搭建,跟着文档走一遍就完事了,留个备份。
Jasig CAS 开源认证服务安装与使用教程
最新发布
gitblog_00248的博客
08-15 230
Jasig CAS 开源认证服务安装与使用教程 cas项目地址:https://gitcode.com/gh_mirrors/cas/cas 1. 项目目录结构及介绍 在克隆或下载 Jasig/cas 项目后,你会看到以下主要的目录结构: cas/ ├── build.gradle // 项目构建文件,基于Gradle ├── config/ // 配置文件夹 ...
CASDemo
chirendan6562的博客
06-20 77
1、CAS登陆demo源码.zip 2、CASdemo在tomcat7测试打包.zip 3、CASDemo在tomcat8的测试打包.zip 还是说明一下吧,1都能看懂,主要说测试打包 测试打包分两部分,tomcat7和tomcat8,都是分别配置好的,主要是测试跨域的验证 ...
CAS集成demo
11-07
CAS 单点登录demo,包含代码、部署详细教程。 博客地址:https://www.cnblogs.com/Garnett-Boy/p/11812961.html
CAS测试Demo
眼神多像云朵
04-01 292
** 一、导入pom.xml** <packaging>war</packaging> <properties> <webVersion>3.0</webVersion> </properties> <dependencies> <!-- cas --> <dependency&...
CAS-4.0.3客户端配置单点登录的Demo
07-26
<groupId>org.jasig.cas.client <artifactId>cas-client-support-springboot <version>4.0.3 ``` 2. **配置CAS服务器地址**:在Spring Boot的配置文件(如`application.properties`)中,你需要指定CAS服务器的...
CAS示例环境部署及配置(完整版)[归纳].pdf
10-11
3. **配置`web.xml`**:按照CAS官方文档(https://wiki.jasig.org/display/CASC/Configuring+the+JA-SIG+CAS+Client+for+Java+in+the+web.xml)指导修改`web.xml`,添加CAS客户端所需的过滤器和监听器。特别是`...
CAS restful接口调用
05-17
<groupId>org.jasig.cas <artifactId>cas-server-support-rest ${project.version} ``` 这里的`${project.version}`应当替换为你所使用的CAS版本号。添加完依赖后,需要重新构建项目或运行Maven命令以确保依赖...
cas客户端demo
02-27
cas客户端demo简单示例,包含cas-client1和cas-client2,仅在cas服务端搭建完成的情况下使用,cas服务端搭建见:https://blog.csdn.net/Dai_Haijiao/article/details/87942234
cas单点登录demo
03-02
cas单点登录的例子程序,运行见说明
CAS-Client-Demo
10-25
基于CAS的SSO单点登录项目实例,构建CAS-client的三种方式:①SpringMVC(clientA)②springboot使用默认配置(clientB)③springboot不使用默认配置(clientC),解压文件可见。详细使用教程在解压的.txt文件中查看
cas单点登陆demo包含cas服务器和2个客户端代码
09-27
cas单点登陆的完整demojava实现,支持https,包含cas服务器和2个客户端代码,解压即用,运行之前请阅读注意说明,记得添加证书至jdk信任,如果实在无法运行可以参考我的博客相关文章
CAS 实现单点登录(SSO)简单实例demo(二)
热门推荐
何静媛
04-07 1万+
本文目的很明确,并不是要逐步讲清楚每一步的操作,具体的步骤网上有很多,那么整理本文的目的只是要梳理一下自己的知识点,帮助自己加深理解。   小知识点积累:   域名地址的修改:   根据演示需求,用修改hosts文件的方法添加域名最简单方便(这个非常重要),在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三条   127.0.0.1
SpringBoot+MybatisPlus实现CAS单点登录demo(附源码,一份非常适合收藏的Java进阶面试题
2401_83740189的博客
03-23 724
关于面试刷题也是有方法可言的,建议最好是按照专题来进行,然后由基础到高级,由浅入深来,效果会更好。Java基础部分算法与编程数据库部分流行的框架与新技术(Spring+SpringCloud+SpringCloudAlibaba)这份面试文档当然不止这些内容,实际上像JVM、设计模式、ZK、MQ、数据结构等其他部分的面试内容均有涉及,因为文章篇幅,就不全部在这里阐述了。
Java并发基石—CAS原理实战
How many ten years in the life time?
11-05 620
CAS:CompareAndSwap 比较并交换定义:CAS 包含三个参数,分别是内存位置(V)、期望值(A)、更新值(B),也即是说内存位置的值和期望值是一致的,就是将值更新为更新值。CAS 本质上不属于锁的范畴,我们称它为“无锁”。但是因为自旋(死循环)的存在,会在循环内部进行处理。但是因为死循环,可能会导致 CPU 上升。CAS 会存在ABA 问题。
CAS SSO配置与HTTP协议实现详解
"cas sso学习心得 - CAS单点登录配置详解与Java客户端获取用户信息" 在深入了解CAS(Central Authentication Service)单点登录系统的过程中,我发现它是一个强大的身份验证框架,适用于多个应用系统的统一登录管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值