单点登录CAS简单应用(单个使用,没有和spring整合)
一丶单点登录与cas简介
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中**,用户只需要登录一次**就可以访问所有相互信任的应用系统。很多时候系统是存储在子系统中的,而子系统又分别部署在不同的服务器上,因此使用传统的session是无法解决的,需要使用相关的单点登陆技术来解决,cas是其中一种.
cas的特点有,开源的企业级单点登录解决方案,CAS Server 为需要独立部署的 Web 应用,CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等.
从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。
SSO单点登录访问流程主要有以下步骤:
-
访问服务:SSO客户端发送请求访问应用系统提供的服务资源。
-
定向认证:SSO客户端会重定向用户请求到SSO服务器。
-
用户认证:用户身份认证。
-
发放票据:SSO服务器会产生一个随机的Service Ticket。
-
验证票据:SSO服务器验证票据Service Ticket的合法性,验证通过后,允许客户端访问服务。
-
传输用户信息:SSO服务器验证票据通过后,传输用户认证结果信息给客户端。
二丶CAS服务端部署及相关配置
-
将此 cas.war 包放在tomcat中webapp目录下,启动tomcat,其会自动解压,通过htttp://locast;8080/cas/login可进入登陆页面.此处有一个固定的账户casuser,密码为Mellon,可通过此进行登录.
-
端口修改: 首先修改tomcat端口配置,在conf/server.xml中**<Connector port=“你要修改的端口号”** protocol=“HTTP/1.1”…>,其次修改cas配置文件WEB-INF/cas.properties,中servername=http://localhost:你要修改的端口号
-
去除https认证,原因:CAS默认使用的是HTTPS协议,如果使用HTTPS协议需要SSL安全证书(需向特定的机构申请和购买) 。如果对安全要求不高或是在开发测试阶段,可使用HTTP协议。按步骤修改如下配置,可以让cas使用http协议.
-
修改cas的WEB-INF/deployerConfigContext.xml,找到如下配置:
<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" />
注意:在里边增加参数p:requireSecure=“false”,requireSecure属性意思为是否需要安全验证,即HTTPS,false为不采用.
-
修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml,找到如下配置
<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" />
注意:参数p:cookieSecure=“true”,同理为HTTPS验证相关,TRUE为采用HTTPS验证,FALSE为不采用https验证。
参数p:cookieMaxAge="-1",是COOKIE的最大生命周期,-1为无生命周期,即只在当前打开的窗口有效,关闭或重新打开其它窗口,仍会要求验证。可以根据需要修改为大于0的数字,比如3600等,意思是在3600秒内,打开任意窗口,都不需要验证。
我们这里将cookieSecure改为false , cookieMaxAge 改为3600
-
修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml,修改内容和第二部一致.
-
三丶CAS客户端demo创建示例
-
依赖的引入,主要是cas依赖包以及web项目所需依赖
<dependencies> <!-- cas --> <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>cas-client-core</artifactId> <version>3.3.3</version> </dependency> <!-- servlet --> <dependency> <groupId>javax.servlet</groupId> <artifactId>servlet-api</artifactId> <version>2.5</version> <scope>provided</scope> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <version>2.3.2</version> <configuration> <source>1.7</source> <target>1.7</target> </configuration> </plugin> <plugin> <groupId>org.apache.tomcat.maven</groupId> <artifactId>tomcat7-maven-plugin</artifactId> <configuration> <!-- 指定端口 --> <port>9001</port> <!-- 请求路径 --> <path>/</path> </configuration> </plugin> </plugins> </build>
-
添加web.xml(原生)配置
<?xml version="1.0" encoding="UTF-8"?> <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" version="2.5"> <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 --> <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class> </listener> <!-- 该过滤器用于实现单点登出功能,可选配置。 --> <filter> <filter-name>CAS Single Sign Out Filter</filter-name> <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS Single Sign Out Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 该过滤器负责用户的认证工作,必须启用它 --> <filter> <filter-name>CASFilter</filter-name> <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class> <init-param> <param-name>casServerLoginUrl</param-name> <param-value>http://localhost:9100/cas/login</param-value> <!--这里的server是服务端的IP --> </init-param> <init-param> <param-name>serverName</param-name> <!--这里的客户端的IP --> <param-value>http://localhost:9001</param-value> </init-param> </filter> <filter-mapping> <filter-name>CASFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 该过滤器负责对Ticket的校验工作,必须启用它 --> <filter> <filter-name>CAS Validation Filter</filter-name> <filter-class> org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class> <init-param> <param-name>casServerUrlPrefix</param-name> <param-value>http://localhost:9100/cas</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>http://localhost:9001</param-value> </init-param> </filter> <filter-mapping> <filter-name>CAS Validation Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 --> <filter> <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> <filter-class> org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。,与上边目的相同 但是方式不同 --> <filter> <filter-name>CAS Assertion Thread Local Filter</filter-name> <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS Assertion Thread Local Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> </web-app>
-
单点退出配置:在没有配置之前, http://localhost:9100/cas/logout 会跳入默认的推出界面,要想指定退出后进入自定义的界面,应该修改cas系统的配置文件cas-servlet.xml,找到如下配置:
<bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction" p:servicesManager-ref="servicesManager" p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/>
注意:p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/参数修改为true,退出链接就可以自定义指定,修改service=…携带参数自己想要进入的界面.此处为cas的原生配置,当和speing整合时,会变得相对来简单很多.
<a href="http://localhost:9100/cas/logout?service=http://www.baidu.com">退出登录</a>
四丶CAS服务端数据源配置(可使用数据库中的用户名密码进行登录)
-
配置数据源:修改cas服务端中web-inf下deployerConfigContext.xml ,添加如下配置
<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource" p:driverClass="com.mysql.jdbc.Driver" p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/pinyougoudb? characterEncoding=utf8" p:user="root" p:password="123456" /> <!--当密码被加密后需要有此配置,进行解析密码--> <bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" c:encodingAlgorithm="MD5" p:characterEncoding="UTF-8" /> <bean id="dbAuthHandler" class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler" p:dataSource-ref="dataSource" p:sql="select password from tb_user where username = ?" p:passwordEncoder-ref="passwodEncoder"/>
-
然后在配置文件开始部分找到如下配置:
<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager"> <constructor-arg> <map> <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver" /> <!--此处为使用配置中固定密码的配置--> <entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" /> </map> </constructor-arg> <property name="authenticationPolicy"> <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy" /> </property> </bean>
其中, 一句是使用固定的用户名和密码,我们在下面可以看到这两个bean ,如果我们使用数据库认证用户名和密码,将key-ref引用更改为数据源中配置的dbAuthHandler
-
添加相应的三个jar包进入caslib中.分别为数据库驱动包,数据路连接池,cas支持数据库的依赖包
cas-server-support-jdbc-4.0.0.jar
五丶测试
在启动配置有web.xml的demo工程中,通过浏览器输入资源链接,都会跳转进入as的登录页,输入用户名密码后在进入之前要进入的页面,一次验证多次使用,相当于cookie,多个项目也可以使用
六丶CAS服务端页面改造
-
页面名称为****casLoginView.jsp****,所在目录为WEB-INF\view\jsp\default\ui,在拷贝时,应该将相应的css,js,等文件夹拷贝到cas目录下
-
添加指令
<%@ page pageEncoding="UTF-8" %> <%@ page contentType="text/html; charset=UTF-8" %> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %> <%@ taglib prefix="spring" uri="http://www.springframework.org/tags" %> <%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %> <%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>
-
修改相应的表单标签,以及样式.
-
错误提示:在表单合适的位置内加入相应的错误提示框
<form:errors path="*" id="msg" cssClass="errors" element="div" htmlEscape="false" />
-
此时使用的配置为默认的,提示的错误信息为英文,该提示信息在WEB-INF\classes目录下的messages.properties文件中
authenticationFailure.AccountNotFoundException=Invalid credentials. authenticationFailure.FailedLoginException=Invalid credentials.
-
我们要将其修改为中文的,首先设置国际化(I18n),修改cas-servlet.xml,
<bean id="localeResolver" class="org.springframework.web.servlet.i18n.CookieLocaleResolver" p:defaultLocale="zh_CN" />
注意:参数zh_CN为中文简体,默认配置为en
-
我们不修改应为原先配置(步骤一messages),而是将此信息拷贝到messages_zh_CN.properties下,并改为中文提示(转码)
authenticationFailure.AccountNotFoundException=\u7528\u6237\u4E0D\u5B58\u5728. authenticationFailure.FailedLoginException=\u5BC6\u7801\u9519\u8BEF.
**注意:**第一个是用户名不存在时的错误提示
第二个是密码错误的提示
-