單點登錄——CAS

??單點登錄(Single Sign On),簡稱為 SSO,是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO 的定義是在多個應(yīng)用系統(tǒng)中,用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。
??我們目前的系統(tǒng)存在諸多子系統(tǒng),而這些子系統(tǒng)是分別部署在不同的服務(wù)器中,那么使用傳統(tǒng)方式的 session 是無法解決的,我們需要使用相關(guān)的單點登錄技術(shù)來解決。


單點登錄流程圖

一、CAS的簡介

??CAS是一個為Web應(yīng)用系統(tǒng)提供一種可靠的單點登錄方法的開源項目,可以支持非常多的客戶端,包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
??從結(jié)構(gòu)上看,CAS 包含兩個部分:CAS Server 和 CAS Client。CAS Server 需要獨立部署,主要負(fù)責(zé)對用戶的認(rèn)證工作;CAS Client 負(fù)責(zé)處理對客戶端受保護(hù)資源的訪問請求,需要登錄時,重定向到 CAS Server。

CAS基本的協(xié)議過程

SSO單點登錄訪問流程的步驟:
??1. 訪問服務(wù):SSO 客戶端發(fā)送請求訪問應(yīng)用系統(tǒng)提供的服務(wù)資源。
??2. 定向認(rèn)證:SSO 客戶端會重定向用戶請求到 SSO 服務(wù)器。
??3. 用戶認(rèn)證:用戶身份認(rèn)證。
??4. 發(fā)放票據(jù):SSO服務(wù)器會產(chǎn)生一個隨機(jī)的Service Ticket。
??5. 驗證票據(jù):SSO服務(wù)器驗證票據(jù) Service Ticket的合法性,驗證通過后,允許客戶端訪問服務(wù)。
??6. 傳輸用戶信息:SSO服務(wù)器驗證票據(jù)通過后,傳輸用戶認(rèn)證結(jié)果信息給客戶端。

二、CAS服務(wù)端部署

??CAS服務(wù)端其實就是一個war包,下載鏈接: https://pan.baidu.com/s/16xH8BZEYt9ra5ZK1vRB8-w 密碼: ebzh,為大家提供的CAS版本是4.0.0,有興趣的也可以從官網(wǎng)下載:https://www.apereo.org/projects/cas

1、CAS的安裝

??解壓資源中的cas-server-4.0.0-release.zip文件,將cas-server-4.0.0-release\cas-server-4.0.0\modules路徑下的cas-server-webapp-4.0.0.war復(fù)制到tomcat路徑的webapps目錄中(我在這里將war包進(jìn)行了重新命名),然后啟動tomcat。
??注意:最好是使用一個新的tomcat安裝cas,否則可能出現(xiàn)一些問題

tomcat啟動后webapps目錄下的文件

??然后在瀏覽器中進(jìn)行測試,輸入地址http://localhost:8080/cas/login,顯示下面的頁面:
默認(rèn)登錄界面

??輸入默認(rèn)的用戶名和密碼:casuser /Mellon,登陸成功后會顯示下面的頁面:
登陸成功

2、端口修改

??如果我們不希望用 8080 端口訪問 CAS, 可以修改端口。
??在tomcat目錄下的conf\server.xml中,找到下面的配置進(jìn)行修改:


server.xml的配置

??修改 cas 的 WEB-INF/cas.properties :


cas.properties的配置

3、CAS默認(rèn)用戶名和密碼的修改

(1)添加固定的用戶名和密碼

??在apache-tomcat-7.0.52\webapps\cas\WEB-INF此路徑下找到配置文件deployerConfigContext.xml,打開并修改下列內(nèi)容:


添加用戶名和密碼

(2)從數(shù)據(jù)庫中讀取用戶名和密碼

??同樣在deployerConfigContext.xml中,加入下列配置:

<!--
        使用數(shù)據(jù)庫中的用戶名和密碼需要配置三個bean
        數(shù)據(jù)庫連接池(dataSource):
            可以使用c3p0、Druid等數(shù)據(jù)庫連接池,并進(jìn)行相應(yīng)的配置
        密碼編碼處理器(passwordEncoder):
            由于數(shù)據(jù)庫中的密碼使用了MD5技術(shù)進(jìn)行了加密,所以需要加入這個配置,沒有加密的可以不用
        新的認(rèn)證處理器(dbAuthHandler):
            這個bean類似于上面說的默認(rèn)的認(rèn)證處理器,需要配置默認(rèn)的數(shù)據(jù)庫連接池、sql語句、以及密碼編碼處理器
    -->
    <bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"   
        p:driverClass="com.mysql.jdbc.Driver"   
        p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/pinyougoudb?characterEncoding=utf8"   
        p:user="root"   
        p:password="1234" />  
    <bean id="passwordEncoder"  
        class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"   
        c:encodingAlgorithm="MD5"   
        p:characterEncoding="UTF-8" />   
    <bean id="dbAuthHandler"   
        class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"   
        p:dataSource-ref="dataSource"   
        p:sql="select password from tb_user where username = ?"   
        p:passwordEncoder-ref="passwordEncoder"/>

??然后修改默認(rèn)的認(rèn)證處理器,修改后,原來默認(rèn)的用戶名和密碼以及上面新增的都不能再使用:

修改默認(rèn)的認(rèn)證處理器

??注意:還需要將相應(yīng)的jar包放入到webapps\cas\WEB-INF\lib 下,資源中有提供
需要的jar包

??最后使用數(shù)據(jù)庫中的用戶名和密碼進(jìn)行測試。

4、CAS去除 https 認(rèn)證

??CAS默認(rèn)使用的是HTTPS協(xié)議,如果使用HTTPS協(xié)議需要SSL安全證書(需向特定的機(jī) 構(gòu)申請和購買)。如果對安全要求不高或是在開發(fā)測試階段,可使用HTTP 協(xié)議。我們這 里講解通過修改配置,讓CAS 使用 HTTP 協(xié)議。

(1)修改 cas 的 WEB-INF/deployerConfigContext.xml


??requireSecure 屬性意思為是否需要安全驗證,即 HTTPS,false為不采用。

(2)修改 cas 的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml

(3)修改 cas 的 WEB-INF/spring-configuration/warnCookieGenerator.xml

三、CAS單點登錄測試

??首先創(chuàng)建兩個maven工程(war),引入下面的依賴,端口號分別設(shè)置為9001和9002。

    <dependencies>
        <!-- cas -->
        <dependency>
            <groupId>org.jasig.cas.client</groupId>
            <artifactId>cas-client-core</artifactId>
            <version>3.3.3</version>
        </dependency>

        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
            <scope>provided</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>2.3.2</version>
                <configuration>
                    <source>1.7</source>
                    <target>1.7</target>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <configuration>
                    <!-- 指定端口 -->
                    <port>9001</port>
                    <!-- 請求路徑 -->
                    <path>/</path>
                </configuration>
            </plugin>
        </plugins>
    </build>
創(chuàng)建工程

??然后添加web.xml文件,修改對應(yīng)的端口

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    version="2.5">  
    
    <!-- ======================== 單點登錄開始 ======================== -->  
    <!-- 用于單點退出,該過濾器用于實現(xiàn)單點登出功能,可選配置 -->  
    <listener>  
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
    </listener>  
  
    <!-- 該過濾器用于實現(xiàn)單點登出功能,可選配置。 -->  
    <filter>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
  
    <!-- 該過濾器負(fù)責(zé)用戶的認(rèn)證工作,必須啟用它 -->  
    <filter>  
        <filter-name>CASFilter</filter-name>  
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
        <init-param>  
            <param-name>casServerLoginUrl</param-name>  
            <param-value>http://localhost:9100/cas/login</param-value>  
            <!--這里的server是服務(wù)端的IP -->  
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>http://localhost:9001</param-value>
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>CASFilter</filter-name>  
        <url-pattern>/*</url-pattern>
    </filter-mapping>  
  
    <!-- 該過濾器負(fù)責(zé)對Ticket的校驗工作,必須啟用它 -->  
    <filter>  
        <filter-name>CAS Validation Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
        <init-param>  
            <param-name>casServerUrlPrefix</param-name>  
            <param-value>http://localhost:9100/cas</param-value>  
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>http://localhost:9001</param-value>
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Validation Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
  
    <!-- 該過濾器負(fù)責(zé)實現(xiàn)HttpServletRequest請求的包裹, 比如允許開發(fā)者通過HttpServletRequest的getRemoteUser()方法獲得SSO登錄用戶的登錄名,可選配置。 -->  
    <filter>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
  
    <!-- 該過濾器使得開發(fā)者可以通過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登錄名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->  
    <filter>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
  
    <!-- ======================== 單點登錄結(jié)束 ======================== -->  
    
    
</web-app>

??最后編寫jsp頁面進(jìn)行測試,jsp中的表達(dá)式request.getRemoteUser()是為了獲得登陸的用戶名。

<%@ page language="java" contentType="text/html; charset=utf-8" 
    pageEncoding="utf-8"%> 
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" 
"http://www.w3.org/TR/html4/loose.dtd"> 
<html> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8"> 
<title>主頁一</title> 
</head> 
<body> 
歡迎來到主頁一
<%=request.getRemoteUser()%> 
</body> 
</html>

四、單點登出

??在地址欄輸入http://localhost:9100/cas/logout,就能看見登出頁面

注銷頁面

登出后頁面的跳轉(zhuǎn)

??如果我們想要在用戶注銷登錄后跳轉(zhuǎn)到一個頁面,那么需要兩個步驟:
修改cas的配置文件cas-servlet.xml

修改配置

在地址后添加頁面跳轉(zhuǎn)地址
地址欄輸入http://localhost:9100/cas/logout?service=http://www.baidu.com,
service后拼接需要跳轉(zhuǎn)的地址。

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容