碼上快樂

相關內容    簡體    繁體

java單點登錄系統CAS的簡單使用

本文轉載自   查看原文   2017-01-09 14:33   19307    SSO

http://blog.csdn.net/yunye114105/article/details/7997041

參考:

http://blog.csdn.net/diyagea/article/details/50638737

(配置SSL協議)http://www.cnblogs.com/notDog/p/5264666.html

背景

有幾個相對獨立的java的web應用系統, 各自有自己的登陸驗證功能,用戶在使用不同的系統的時候,需要登陸不同的系統。現在需要提供一個統一的登陸/登出界面, 而不修改各個系統原來的登陸驗證機制。於是采用單點登錄系統CAS。
 

使用步驟

要使用單點登錄,需要部署CAS系統, CAS服務端可以直接部署在tomcat下運行, 對於CAS服務端來說,所有要集成單點登錄的web應用都是它的一個客戶端, CAS有客戶端jar包, 客戶端web應用需要引入CAS客戶端的jar包,這樣CAS系統的服務端和客戶端web應用程序端才能通信。
 
客戶端web應用程序的通過配置web.xml,添加CAS需要的各種過濾器,來實現和CAS服務器通信, 用戶信息驗證工作在CAS服務端統一完成, 驗證通過后,客戶端web應用程序只需要補全自己的Session信息即可。
 
各個客戶端web應用程序需要使用一個公用的用戶表。
 

第一步 部署CAS系統服務端

1.從官網http://developer.jasig.org/cas/下載CAS Server, 將cas-server-webapp-3.4.12.war解壓, 可以看到是一個標准的java的web應用, 可以直接部署到tomcat的webapps目錄下的,我這里假設部署的路徑是{tomcat_home}/webapps/cas。
2. CAS默認需要tomcat配置SSL協議,使用https協議通信的。 由於項目是企事業單位內部的系統,不需要這么高的安全級別, 可以簡化操作,不走SSL協議。修改下配置文件\WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml, 如下, 將默認的true改成false即可。
[html]  view plain  copy
 
  1. <bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"  
  2.         p:cookieSecure="false"  
  3.         p:cookieMaxAge="-1"  
  4.         p:cookieName="CASTGC"  
  5.         p:cookiePath="/cas" />  
3.配置登錄的驗證邏輯, 修改配置文件cas\WEB-INF\deployerConfigContext.xml。在authenticationHandlers中配置驗證方式,我這里配置數據庫查詢語句來實現用戶名和密碼的驗證。
[html]  view plain  copy
 
  1. <property name="authenticationHandlers">  
  2.             <list>  
  3.                 <!--  
  4.                     | This is the authentication handler that authenticates services by means of callback via SSL, thereby validating  
  5.                     | a server side SSL certificate.  
  6.                     +-->  
  7.                 <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"  
  8.                     p:httpClient-ref="httpClient" />  
  9.                 <!--  
  10.                     | This is the authentication handler declaration that every CAS deployer will need to change before deploying CAS   
  11.                     | into production.  The default SimpleTestUsernamePasswordAuthenticationHandler authenticates UsernamePasswordCredentials  
  12.                     | where the username equals the password.  You will need to replace this with an AuthenticationHandler that implements your  
  13.                     | local authentication strategy.  You might accomplish this by coding a new such handler and declaring  
  14.                     | edu.someschool.its.cas.MySpecialHandler here, or you might use one of the handlers provided in the adaptors modules.  
  15.                     +-->  
  16.                  <bean class="org.jasig.cas.adaptors.jdbc.SearchModeSearchDatabaseAuthenticationHandler">
                    <property name="dataSource" ref="ds"/>

                    <property name="tableUsers" value="user"/>
                    <property name="fieldUser" value="username"/>
                    <property name="fieldPassword" value="password"/>
                    </bean>
  17.                 <!-- <bean  
  18.                     class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" /> -->  
  19.                 <bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">  
  20.                     <property name="sql" value="select password from userTable where userName=?" />  
  21.                     <property name="passwordEncoder" ref="passwordEncoder"/>  
  22.                     <property name="dataSource" ref="dataSource" />  
  23.                 </bean>  -->

         

 

  

  1.             </list>  
  2.         </property>  
密碼加密方法我這里使用MD5, 配置passwordEncoder的bean
[html]  view plain  copy
 
  1. <bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire="byName">  
  2.         <constructor-arg value="MD5"/>  
  3.     </bean>  
在配置一個名稱為dataSource的數據源
[html]  view plain  copy
 
  1. <bean id="dataSource" class="org.logicalcobwebs.proxool.ProxoolDataSource">  
  2.         <property name="driver" value="com.microsoft.sqlserver.jdbc.SQLServerDriver"></property>  
  3.         <property name="driverUrl" value="jdbc:sqlserver://localhost:1433;databaseName=testDB;"></property>  
  4.         <property name="user" value="sa"></property>  
  5.         <property name="password" value="123456"></property>  
  6.         <property name="maximumConnectionCount" value="100"></property>  
  7.         <property name="minimumConnectionCount" value="1"></property>  
  8.     </bean>  
數據源的配置根據自己的實際情況來配置, 需要的jar如果lib下面沒有,自己復制進去, 不然數據源連不上報錯。
4. 現在服務端就配置好了, 如果需要定制登錄/登出頁面的話(實際項目基本上都需要修改), 修改cas\WEB-INF\view\jsp\default\ui\下面的casLoginView.jsp和casLogoutView.jsp就可以了
 
 

第二步 客戶端web應用程序集成CAS

1. 從官網 http://developer.jasig.org/cas-clients/ 下載CAS Client, 將客戶端的jar,如cas-client-core-3.2.1.jar引入到web應用程序的classpath中
2 .配置web.xml文件, 主要是添加過濾器攔截通信, 下面的實例代碼, 假設web應用程序的端口是8080
[html]  view plain  copy
 
  1. <!-- CAS 單點登錄(SSO) 過濾器配置 (start) -->  
  2.       
  3.     <!-- 該過濾器用於實現單點登出功能。-->  
  4.     <filter>  
  5.         <filter-name>CAS Single Sign Out Filter</filter-name>  
  6.         <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
  7.     </filter>  
  8.     <filter-mapping>  
  9.         <filter-name>CAS Single Sign Out Filter</filter-name>  
  10.         <url-pattern>/*</url-pattern>  
  11.     </filter-mapping>  
  12.     <!-- CAS: 用於單點退出 -->  
  13.     <listener>  
  14.         <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
  15.     </listener>  
  16.       
  17.     <!-- 該過濾器負責用戶的認證工作,必須啟用它 -->  
  18.     <filter>  
  19.         <filter-name>CASFilter</filter-name>  
  20.         <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
  21.         <init-param>  
  22.             <param-name>casServerLoginUrl</param-name>  
  23.             <!-- 下面的URL是Cas服務器的登錄地址 -->  
  24.             <param-value>http://CAS服務端所在服務器IP:8080/cas/login</param-value>  
  25.         </init-param>  
  26.         <init-param>  
  27.             <param-name>serverName</param-name>  
  28.             <!-- 下面的URL是具體某一個應用的訪問地址 -->  
  29.             <param-value>http://具體web應用程序所在服務器IP:8080</param-value>  
  30.         </init-param>  
  31.     </filter>  
  32.     <filter-mapping>  
  33.         <filter-name>CASFilter</filter-name>  
  34.         <url-pattern>/*</url-pattern>  
  35.     </filter-mapping>  
  36.        
  37.     <!-- 該過濾器負責對Ticket的校驗工作,必須啟用它 -->  
  38.     <filter>  
  39.         <filter-name>CAS Validation Filter</filter-name>  
  40.         <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
  41.         <init-param>  
  42.             <param-name>casServerUrlPrefix</param-name>  
  43.             <!-- 下面的URL是Cas服務器的認證地址 -->  
  44.             <param-value>http://CAS服務端所在服務器IP:8080/cas</param-value>  
  45.         </init-param>  
  46.         <init-param>  
  47.             <param-name>serverName</param-name>  
  48.             <!-- 下面的URL是具體某一個應用的訪問地址 -->  
  49.             <param-value>http://具體web應用程序所在服務器IP:8080</param-value>  
  50.         </init-param>  
  51.         <init-param>  
  52.           <param-name>renew</param-name>  
  53.           <param-value>false</param-value>  
  54.         </init-param>  
  55.         <init-param>  
  56.           <param-name>gateway</param-name>  
  57.           <param-value>false</param-value>  
  58.         </init-param>  
  59.     </filter>  
  60.     <filter-mapping>  
  61.         <filter-name>CAS Validation Filter</filter-name>  
  62.         <url-pattern>/*</url-pattern>  
  63.     </filter-mapping>  
  64.        
  65.     <!--  
  66.     該過濾器負責實現HttpServletRequest請求的包裹,  
  67.     比如允許開發者通過HttpServletRequest的getRemoteUser()方法獲得SSO登錄用戶的登錄名,可選配置。  
  68.     -->  
  69.     <filter>  
  70.         <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
  71.         <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
  72.     </filter>  
  73.     <filter-mapping>  
  74.         <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
  75.         <url-pattern>/*</url-pattern>  
  76.     </filter-mapping>  
  77.        
  78.     <!--  
  79.     該過濾器使得開發者可以通過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登錄名。  
  80.     比如AssertionHolder.getAssertion().getPrincipal().getName()。  
  81.     -->  
  82.     <filter>  
  83.         <filter-name>CAS Assertion Thread Local Filter</filter-name>  
  84.         <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
  85.     </filter>  
  86.     <filter-mapping>  
  87.         <filter-name>CAS Assertion Thread Local Filter</filter-name>  
  88.         <url-pattern>/*</url-pattern>  
  89.     </filter-mapping>  
  90.        
  91.     <!-- 自動根據單點登錄的結果設置本系統的用戶信息(具體某一個應用實現) -->  
  92.     <filter>  
  93.         <filter-name>CasForInvokeContextFilter</filter-name>  
  94.         <filter-class>com.cm.demo.filter.CasForInvokeContextFilter</filter-class>  
  95.         <init-param>  
  96.           <param-name>appId</param-name>  
  97.           <param-value>a5ea611bbff7474a81753697a1714fb0</param-value>  
  98.         </init-param>  
  99.     </filter>  
  100.     <filter-mapping>  
  101.         <filter-name>CasForInvokeContextFilter</filter-name>  
  102.         <url-pattern>/*</url-pattern>  
  103.     </filter-mapping>  
  104.     <!-- CAS 單點登錄(SSO) 過濾器配置 (end) -->  
4. 注意上步配置文件中,過濾器CasForInvokeContextFilter的實現是需要在具體的應用中實現的,他的目的是, CAS服務端登錄驗證成功后,會將登錄用戶的用戶名攜帶回來, 這時客戶端web應用程序需要根據用戶名從數據庫用戶表中查詢到用戶的Id等信息, 並填充到Session中, 這樣,客戶端應用程序原來的驗證邏輯就不會出問題了, 因為我們一般都是通過驗證session中是否含有當前登錄的用戶的ID來進行登錄驗證的。
下面是CasForInvokeContextFilter的一個簡單實現。
[java]  view plain  copy
 
  1. /** 
  2.  * 該過濾器用戶從CAS認證服務器中獲取登錄用戶用戶名,並填充必要的Session. 
  3.  * @author jiarong_cheng 
  4.  * @created 2012-7-12 
  5.  */  
  6. public class CasForInvokeContextFilter implements Filter {  
  7.   
  8.     @Override  
  9.     public void destroy() {  
  10.     }  
  11.   
  12.     @Override  
  13.     public void doFilter(ServletRequest request, ServletResponse response,  
  14.             FilterChain chain) throws IOException, ServletException {  
  15.         HttpSession session = ((HttpServletRequest) request).getSession();  
  16.         //如果session中沒有用戶信息,則填充用戶信息  
  17.         if (session.getAttribute("j_userId") == null) {  
  18.             //從Cas服務器獲取登錄賬戶的用戶名  
  19.             Assertion assertion = AssertionHolder.getAssertion();  
  20.             String userName = assertion.getPrincipal().getName();  
  21.   
  22.             try {  
  23.                 //根據單點登錄的賬戶的用戶名,從數據庫用戶表查找用戶信息, 填充到session中  
  24.                 User user = UserDao.getUserByName(userName);  
  25.                 session.setAttribute("username", userName);  
  26.                 session.setAttribute("userId", user.getId());  
  27.             } catch (Exception e) {  
  28.                 e.printStackTrace();  
  29.             }  
  30.         }  
  31.         chain.doFilter(request, response);  
  32.     }  
  33.   
  34.     @Override  
  35.     public void init(FilterConfig config) throws ServletException {  
  36.     }  
  37. }  

到此,就完成了, 當你訪問具體應用的網址, 如http://具體應用IP: 8080/ ,就會跳轉到CAS服務器的登陸頁面: http://CAS服務器IP: 8080/  進行登錄驗證, 驗證通過后, 又會跳轉回應用的網址。

第三步 單點登出

這個比較簡單, 只要在系統的登出事件中, 將URL訪問地址指向CAS服務登出的servlet, 就可以了。
http://CAS服務器IP:8080/cas/logout


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 java單點登錄系統CAS的簡單使用 單點登錄CAS使用記(六):單點登出、單點注銷 CAS單點登錄的配置 單點登錄之cas client 單點登錄CAS使用記(四):為登錄頁面加上驗證碼 跨域分布式系統單點登錄的實現(CAS單點登錄) 使用shiro-cas實現單點登錄,多點注銷 CAS學習筆記二:CAS單點登錄流程 cas單點登錄認證原理 CAS單點登錄入門
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM