1.开源单点登录系统CAS入门
1.1 什么是单点登录
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决。
1.2 什么是CAS
CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点:
【1】开源的企业级单点登录解决方案。
【2】CAS Server 为需要独立部署的 Web 应用。
【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,
需要登录时,重定向到 CAS Server。下图是 CAS 最基本的协议过程:
Spring-Security整合CAS认证流程:用户通过客户端浏览器访问某一个网页,网页中的security安全框架会拦截此请求并重定向到CAS服务器的登录验证页面,用户通过输入用户名和密码进行数据库验证,验证通过服务器会随机给客户端浏览器返回一个票据(Service Ticket);客户端浏览器携带此票据再次访问原网页,此时网页会将携带的票据与服务器做验证,验证通过,服务器将对应的用户信息返回给网页的session域,此时用户就能访问网站了。
注意:票据验证过程是底层自动完成的,不需要用户进行操作。用户所能感受到的只是正常的登录与访问页面。
1.3 CAS服务端部署
Cas服务端其实就是一个war包,将此war包复制到tomcat的webapp目录下,运行tomcat自动解压war包,浏览器输入http://localhost:8080/cas/login ,可看到登录页面
此登陆页面后期可以改为目标网站的登录页面样式。
这里有个固定的用户名和密码 casuser /Mellon,登录成功后会跳到登录成功的提示页面
1.4 CAS服务端配置
1.4.1端口修改
如果我们不希望用8080端口访问CAS, 可以修改端口
(1)修改TOMCAT的端口
打开tomcat 目录 conf\server.xml 找到下面的配置
将端口8080改为9100(没有限制,前提是端口在合理范围内)
(2)修改CAS配置文件
修改cas的WEB-INF/cas.properties
server.name=http://localhost:9100
erver.prefix=${server.name}/cas
# IP address or CIDR subnet allowed to access the /status URI of CAS that exposes health check information
cas.securityContext.status.allowedSubnet=127.0.0.1
浏览器中将端口号改为9100再次访问,看是否能访问到cas登录页面。
1.4.2去除https认证
CAS默认使用的是HTTPS协议,如果使用HTTPS协议需要SSL安全证书(需向特定的机构申请和购买) 。如果对安全要求不高或是在开发测试阶段,
可使用HTTP协议。我们这里讲解通过修改配置,让CAS使用HTTP协议。
(1)修改cas的WEB-INF/deployerConfigContext.xml
找到下面的配置
| <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" |
这里需要增加参数p:requireSecure="false",requireSecure属性意思为是否需要安全验证,即HTTPS,false为不采用
(2)修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml
找到下面配置
| <bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" /> |
参数p:cookieSecure="true",同理为HTTPS验证相关,TRUE为采用HTTPS验证,FALSE为不采用https验证。
参数p:cookieMaxAge="-1",是COOKIE的最大生命周期,-1为无生命周期,即只在当前打开的窗口有效,关闭或重新打开其它窗口,仍会要求验证。
可以根据需要修改为大于0的数字,比如3600等,意思是在3600秒内,打开任意窗口,都不需要验证。
我们这里将cookieSecure改为false , cookieMaxAge 改为3600
(3)修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml
找到下面配置
| <bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" |
我们这里将cookieSecure改为false , cookieMaxAge 改为3600
1.5 web模块中的配置文件
1 <?xml version="1.0" encoding="UTF-8"?> 2 <beans:beans xmlns="http://www.springframework.org/schema/security" 3 xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 4 xsi:schemaLocation="http://www.springframework.org/schema/beans 5 http://www.springframework.org/schema/beans/spring-beans.xsd 6 http://www.springframework.org/schema/security 7 http://www.springframework.org/schema/security/spring-security.xsd"> 8 9 <http pattern="/css/**" security="none"></http> 10 <http pattern="/img/**" security="none"></http> 11 <http pattern="/js/**" security="none"></http> 12 <http pattern="/plugins/**" security="none"></http> 13 <http pattern="/user/add.do" security="none"></http> 14 <http pattern="/user/createSmsCode.do" security="none"></http> 15 <http pattern="/register.html" security="none"></http> 16 17 <!-- entry-point-ref 入口点引用 --> 18 <http use-expressions="false" entry-point-ref="casProcessingFilterEntryPoint"> 19 <intercept-url pattern="/**" access="ROLE_USER"/> 20 <csrf disabled="true"/> 21 <!-- custom-filter为过滤器, position 表示将过滤器放在指定的位置上,before表示放在指定位置之前 ,after表示放在指定的位置之后 --> 22 <custom-filter ref="casAuthenticationFilter" position="CAS_FILTER" /> 23 <custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER"/> 24 <custom-filter ref="singleLogoutFilter" before="CAS_FILTER"/> 25 </http> 26 27 <!-- CAS入口点 开始 --> 28 <beans:bean id="casProcessingFilterEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint"> 29 <!-- cas登录服务器登录URL --> 30 <beans:property name="loginUrl" value="http://localhost:8080/cas/login"/> 31 <beans:property name="serviceProperties" ref="serviceProperties"/> 32 </beans:bean> 33 <beans:bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties"> 34 <!--service 配置自身工程的根地址+/login/cas --> 35 <beans:property name="service" value="http://localhost:9106/login/cas"/> 36 </beans:bean> 37 <!-- CAS入口点 结束 --> 38 39 40 <!-- 认证过滤器 开始 --> 41 <beans:bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter"> 42 <beans:property name="authenticationManager" ref="authenticationManager"/> 43 </beans:bean> 44 <!-- 认证管理器 --> 45 <authentication-manager alias="authenticationManager"> 46 <authentication-provider ref="casAuthenticationProvider"> 47 </authentication-provider> 48 </authentication-manager> 49 <!-- 认证提供者 --> 50 <beans:bean id="casAuthenticationProvider" class="org.springframework.security.cas.authentication.CasAuthenticationProvider"> 51 <beans:property name="authenticationUserDetailsService"> 52 <beans:bean class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper"> 53 <beans:constructor-arg ref="userDetailsService" /> 54 </beans:bean> 55 </beans:property> 56 <beans:property name="serviceProperties" ref="serviceProperties"/> 57 <!-- ticketValidator 为票据验证器 --> 58 <beans:property name="ticketValidator"> 59 <beans:bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator"> 60 <!-- 设置cas票据验证地址 --> 61 <beans:constructor-arg index="0" value="http://localhost:8080/cas"/> 62 </beans:bean> 63 </beans:property> 64 <beans:property name="key" value="an_id_for_this_auth_provider_only"/> 65 </beans:bean> 66 <!-- springScurity认证类 --> 67 <beans:bean id="userDetailsService" class="com.pinyougou.user.service.UserDetailServiceImpl"/> 68 69 <!-- 认证过滤器 结束 --> 70 71 72 <!-- 单点登出 开始 --> 73 <beans:bean id="singleLogoutFilter" class="org.jasig.cas.client.session.SingleSignOutFilter"/> 74 <beans:bean id="requestSingleLogoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter"> 75 <beans:constructor-arg value="http://localhost:8080/cas/logout?service=http://localhost:9106/"/> 76 <beans:constructor-arg> 77 <beans:bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"/> 78 </beans:constructor-arg> 79 <!-- 将本地/logout/cas和 64行退出后的部分进行绑定 --> 80 <beans:property name="filterProcessesUrl" value="/logout/cas"/> 81 </beans:bean> 82 <!-- 单点登出 结束 --> 83 84 </beans:beans>