一、概念
从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,
主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登
录时,重定向到 CAS Server。下图是 CAS 最基本的协议过程:
SSO 单点登录访问流程主要有以下步骤:
1.、访问服务:SSO 客户端发送请求访问应用系统提供的服务资源。
2.、定向认证:SSO 客户端会重定向用户请求到 SSO 服务器。
3.、用户认证:用户身份认证。
4.、发放票据:SSO 服务器会产生一个随机的 Service Ticket。
北京市昌平区建材城西路金燕龙办公楼一层 电话:400-618-9090
5.、验证票据:SSO 服务器验证票据 Service Ticket 的合法性,验证通过后,允许客户端访问
服务。
6、传输用户信息:SSO 服务器验证票据通过后,传输用户认证结果信息给客户端。
二、服务端部署
自己到网上下一个cas.war包
cas-server-webapp-4.0.0.war 放入 tomcat 目录下的 webapps 下。
启动tomcat 自动解压 war 包。浏览器输入 http://localhost:8080/cas/login
用户名和密码 casuser /Mellon
这是cas默认的用户名和密码,也可以自己到配置文件中配置,这篇文章就不赘述了,下章再讲如何自行配置用户名和密码。
三、服务端配置
1、端口修改
(1)修改 TOMCAT 的端口
打开 tomcat 目录 conf\server.xml 找到下面的配置
将端口 8080,改为 9999
(2)修改 CAS 配置文件
修改 cas 的 WEB-INF/cas.properties 为9999
2、去除https认证
CAS 默认使用的是 HTTPS 协议
(1)修改 cas 的 WEB-INF/deployerConfigContext.xml
增加参数 p:requireSecure="false",requireSecure 属性意思为是否需要安全验证。
(2)修改 cas 的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml
(3)修改 cas 的 WEB-INF/spring-configuration/warnCookieGenerator.xml
四、工程搭建
1、创建maven工程
2、pom.xml中配置tomcat端口号:9001、9002
见下方:
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>cn.ljw</groupId>
<artifactId>cas-demo01</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>war</packaging>
<dependencies>
<!-- cas -->
<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.3.3</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>2.3.2</version>
<configuration>
<source>1.7</source>
<target>1.7</target>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>9001</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
</project>
建两个项目,修改端口号:
3、WEB/INF/web.xml中配置cas服务端地址和自己服务端地址
见下方:
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<!-- ======================== 单点登录开始 ======================== -->
<!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责用户的认证工作,必须启用它 -->
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>http://localhost:9999/cas/login</param-value>
<!--这里的server是服务端的IP -->
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:9001</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:9999/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:9001</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- ======================== 单点登录结束 ======================== -->
</web-app>
五、单点退出登录
1、地址栏输入:http://localhost:9999/cas/logout
2、退出后指定跳转的页面
将cas.logout.followServiceRedirects:false改为true
跳转链接:<a href=”http://localhost:9999/cas/logoutt?service=http://www.baidu.com">退出登录</a>