CAS單點登錄系列:
CAS 5.1.x 的搭建和使用(一)—— 通過Overlay搭建服務端 CAS 5.1.x 的搭建和使用(二)—— 通過Overlay搭建服務端-其它配置說明 CAS 5.1.x 的搭建和使用(三)—— 官方示例來熟悉客戶端搭建 CAS 5.1.x 的搭建和使用(四)—— 配置使用HTTP協議訪問的服務端
先放上官網文檔地址:https://apereo.github.io/cas/5.1.x/index.html
然后說一下用到的東西:
jdk1.8、tomcat8.5、maven3.3、windows操作系統
1、下載Overlay
通過閱讀官網文檔(https://apereo.github.io/cas/5.1.x/planning/Getting-Started.html)了解到官方建議我們:
It is recommended to build and deploy CAS locally using the WAR Overlay method.
通過使用一個名叫Overlay的項目來生成一個可以直接用的war包,來部署服務端,於是我們先下載這個項目,官網給出了兩個構築格式的:
我這里使用Maven的,下載地址:https://github.com/apereo/cas-overlay-template,或者使用我上傳的網盤地址下載:
鏈接:https://pan.baidu.com/s/1c4wu6UVZIs1DTjbKRa17cw
提取碼:fm2o
2、構築Overlay
下載下來的Overlay默認配置就可以直接構築能用的war包,直接使用它下邊的build腳本執行
build package
第一次構築比較慢,可以在pom的repositories里加一個ali源,構築會快一些。
構築完后在target下找到一個war包,放到你的tomcat8.5(官方建議8.0以上版本,我建議使用8.5,如果你用8.0跑不起來,記得換成8.5以上版本)下跑起來試試吧:
http://localhost:8080/cas/login 默認賬號:casuser 默認密碼:Mellon 目前的配置僅有這一個用戶
第一次會有兩個紅色警告,一個就是說你沒用HTTPS登錄,另一個就是你現在只有一個寫死的用戶,目前這個服務端只能看看,沒什么實際用途。
別急,我們下邊開始解決這兩個問題。
這里先不要急着刪掉你Tomcat下war包剛剛解壓出來的內容
3、生成真正有用的服務端
這一節里面我們有兩件事情要做:
第一個就是做一個keystore,Tomcat配置HTTPS訪問的時候會用到;
第二個就是把我們的用戶改成從數據庫的表中讀取的。
先說keystore:
使用jdk自帶的keytool即可生成keystore,命令如下:
keytool -genkey -alias cas -keyalg RSA -keysize 2048 -keypass 123456 -storepass 123456 -keystore D:/liuyx.keystore -dname "CN=cas.example.org,OU=liuyx.com,O=liuyx,L=JiNan,ST=JiNan,C=CN"
別名密碼什么的都可以改,需要指出的是:
CN=cas.example.org這段內容,后邊配置客戶端的時候需要用到,一定要確保能通過這個域名訪問到你的CAS服務端。
並且不能使用IP作為域(上文的CN),使用IP雖然可以生成keystore,但是在客戶端使用的時候,如果服務端地址配置成IP會報錯。
這里我的CAS服務端是部署在本地的,所以需要做一個本地映射——
用管理員身份修改C:\Windows\System32\drivers\etc\hosts文件,在其最后加上以下內容:
127.0.0.1 cas.example.org
這樣,我們在本地訪問這個域名,其實訪問的就是我們本機了。
再說https:
Tomcat8.5配置https的方式相較之前的版本有所調整,不過也差不太多,修改server.xml文件,如下:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="true"> <SSLHostConfig> <Certificate certificateKeystoreFile="D:/liuyx.keystore" type="RSA" certificateKeystoreType="JKS" certificateKeystorePassword="123456"/> </SSLHostConfig> </Connector>
注意,別忘了把8080端口的Connector注釋掉:
<!-- <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />-->
最后是從數據庫中讀取用戶:
這里我們要做這么幾件事:
1、在pom中引入數據庫相關的jar包,注釋掉用不到的jar包
pom如下:
<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd "> <modelVersion>4.0.0</modelVersion> <groupId>org.apereo.cas</groupId> <artifactId>cas-overlay</artifactId> <packaging>war</packaging> <version>1.0</version> <build> <plugins> <!--STEP1 注釋掉無用組件 <plugin> <groupId>com.rimerosolutions.maven.plugins</groupId> <artifactId>wrapper-maven-plugin</artifactId> <version>0.0.4</version> <configuration> <verifyDownload>true</verifyDownload> <checksumAlgorithm>MD5</checksumAlgorithm> </configuration> </plugin>--> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> <version>${springboot.version}</version> <configuration> <mainClass>org.springframework.boot.loader.WarLauncher</mainClass> <addResources>true</addResources> </configuration> </plugin> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-war-plugin</artifactId> <version>2.6</version> <configuration> <warName>cas</warName> <failOnMissingWebXml>false</failOnMissingWebXml> <recompressZippedFiles>false</recompressZippedFiles> <archive> <compress>false</compress> <manifestFile>${project.build.directory}/war/work/org.apereo.cas/cas-server-webapp${app.server}/META-INF/MANIFEST.MF </manifestFile> </archive> <overlays> <overlay> <groupId>org.apereo.cas</groupId> <artifactId>cas-server-webapp${app.server}</artifactId> </overlay> </overlays> </configuration> </plugin> <plugin> <groupId>org.apache.maven.plugins</groupId> <artifactId>maven-compiler-plugin</artifactId> <version>3.3</version> </plugin> </plugins> <finalName>cas</finalName> </build> <dependencies> <dependency> <groupId>org.apereo.cas</groupId> <artifactId>cas-server-webapp${app.server}</artifactId> <version>${cas.version}</version> <type>war</type> <scope>runtime</scope> </dependency> <!--STEP2 引入數據庫認證相關 start--> <dependency> <groupId>org.apereo.cas</groupId> <artifactId>cas-server-support-jdbc</artifactId> <version>${cas.version}</version> </dependency> <dependency> <groupId>org.apereo.cas</groupId> <artifactId>cas-server-support-jdbc-drivers</artifactId> <version>${cas.version}</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>5.1.36</version> </dependency> <!--數據庫認證相關 end--> <!--<dependency> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-core-authentication</artifactId> <version>4.2.7</version> </dependency>--> <!--<dependency> <groupId>org.apereo.cas</groupId> <artifactId>cas-server-core-util</artifactId> <version>${cas.version}</version> </dependency>--> </dependencies> <properties> <cas.version>5.1.1</cas.version><!--STEP3 修改版本,高版本目前暫時沒有相應的JDBC支持--> <springboot.version>1.5.3.RELEASE</springboot.version> <!-- app.server could be -jetty, -undertow, -tomcat, or blank if you plan to provide appserver --> <app.server>-tomcat</app.server> <maven.compiler.source>1.8</maven.compiler.source> <maven.compiler.target>1.8</maven.compiler.target> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> </properties> <repositories> <repository> <id>sonatype-releases</id> <url>http://oss.sonatype.org/content/repositories/releases/</url> <snapshots> <enabled>false</enabled> </snapshots> <releases> <enabled>true</enabled> </releases> </repository> <repository> <id>sonatype-snapshots</id> <url>https://oss.sonatype.org/content/repositories/snapshots/</url> <snapshots> <enabled>true</enabled> </snapshots> <releases> <enabled>false</enabled> </releases> </repository> <repository> <id>shibboleth-releases</id> <url>https://build.shibboleth.net/nexus/content/repositories/releases</url> </repository> <repository> <id>spring-milestones</id> <url>https://repo.spring.io/milestone</url> </repository> </repositories> <!--STEP4 注釋掉無用組件 <profiles> <profile> <activation> <activeByDefault>false</activeByDefault> </activation> <id>pgp</id> <build> <plugins> <plugin> <groupId>com.github.s4u.plugins</groupId> <artifactId>pgpverify-maven-plugin</artifactId> <version>1.1.0</version> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> <configuration> <pgpKeyServer>hkp://pool.sks-keyservers.net</pgpKeyServer> <pgpKeysCachePath>${settings.localRepository}/pgpkeys-cache</pgpKeysCachePath> <scope>test</scope> <verifyPomFiles>true</verifyPomFiles> <failNoSignature>false</failNoSignature> </configuration> </plugin> </plugins> </build> </profile> </profiles>--> </project>
注意這里我用的cas.version是5.1.1,是因為現在的maven倉庫里沒有更高版本的cas-server-support-jdbc和cas-server-support-jdbc-drivers,為了保持統一選用的5.1.1,你如果能處理好這些jar包,也可以用高版本。
2、修改配置文件
觀察剛才war包解壓出的文件,可以在WEB-INF下發現很多配置文件,
通過閱讀:https://apereo.github.io/cas/5.1.x/installation/Configuration-Server-Management.html 得知,我們可以通過修改其中一個application.properties配置文件來使服務端支持從數據庫的某張表來驗證用戶。
具體的配置信息也可以從https://apereo.github.io/cas/5.1.x/installation/Configuration-Server-Management.html 來了解。
為了防止再次打war包的時候,修改的配置被覆蓋,我在cas-overlay這個maven項目下新建了src,resources等目錄,然后把配置文件復制到相應的目錄進行修改,結構如下:
當然你也可以直接在war包解壓出來的內容上改。
修改后的application.properties內容如下(在原基礎上修改,注釋掉一部分用不到的東西):
#STEP 3 在TOMCAT8.5中跑一個模板然后將其war包中解壓出來的的application.properties復制出來,放到手動創建的src下的resources里面 ## # CAS Server Context Configuration # server.context-path=/cas server.port=8443 #STEP 5添加認證服務
cas.serviceRegistry.initFromJson=true #STEP 4簽發證書,如果是用spring boot之類嵌入式的容器,則需要改這里的配置,如果是直接部在tomcat中,則需要把tomcat改成https的 #server.ssl.key-store=file:/etc/cas/thekeystore #server.ssl.key-store-password=changeit #server.ssl.key-password=changeit # server.ssl.ciphers= # server.ssl.client-auth= # server.ssl.enabled= # server.ssl.key-alias= # server.ssl.key-store-provider= # server.ssl.key-store-type= # server.ssl.protocol= # server.ssl.trust-store= # server.ssl.trust-store-password= # server.ssl.trust-store-provider= # server.ssl.trust-store-type= #server.max-http-header-size=2097152 #server.use-forward-headers=true #server.connection-timeout=20000 #server.error.include-stacktrace=NEVER #server.tomcat.max-http-post-size=2097152 #server.tomcat.basedir=build/tomcat #server.tomcat.accesslog.enabled=true #server.tomcat.accesslog.pattern=%t %a "%r" %s (%D ms) #server.tomcat.accesslog.suffix=.log #server.tomcat.max-threads=10 #server.tomcat.port-header=X-Forwarded-Port #server.tomcat.protocol-header=X-Forwarded-Proto #server.tomcat.protocol-header-https-value=https #server.tomcat.remote-ip-header=X-FORWARDED-FOR #server.tomcat.uri-encoding=UTF-8 spring.http.encoding.charset=UTF-8 spring.http.encoding.enabled=true spring.http.encoding.force=true ## # CAS Cloud Bus Configuration # spring.cloud.bus.enabled=false # spring.cloud.bus.refresh.enabled=true # spring.cloud.bus.env.enabled=true # spring.cloud.bus.destination=CasCloudBus # spring.cloud.bus.ack.enabled=true endpoints.enabled=false endpoints.sensitive=true endpoints.restart.enabled=false endpoints.shutdown.enabled=false management.security.enabled=true management.security.roles=ACTUATOR,ADMIN management.security.sessions=if_required management.context-path=/status management.add-application-context-header=false security.basic.authorize-mode=role security.basic.enabled=false security.basic.path=/cas/status/** ## # CAS Web Application Session Configuration # server.session.timeout=300 server.session.cookie.http-only=true server.session.tracking-modes=COOKIE ## # CAS Thymeleaf View Configuration # spring.thymeleaf.encoding=UTF-8 spring.thymeleaf.cache=false spring.thymeleaf.mode=HTML ## # CAS Log4j Configuration # # logging.config=file:/etc/cas/log4j2.xml server.context-parameters.isLog4jAutoInitializationDisabled=true ## # CAS AspectJ Configuration # spring.aop.auto=true spring.aop.proxy-target-class=true ## # CAS Authentication Credentials # #STEP4 注釋掉寫死的用戶 改用jdbc的用戶 START #cas.authn.accept.users=casuser::Mellon cas.authn.jdbc.query[0].sql=select * from cms_auth_user where user_name=? cas.authn.jdbc.query[0].healthQuery= cas.authn.jdbc.query[0].isolateInternalQueries=false cas.authn.jdbc.query[0].url=jdbc:mysql://127.0.0.1:3306/CASTEST?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false cas.authn.jdbc.query[0].failFast=true cas.authn.jdbc.query[0].isolationLevelName=ISOLATION_READ_COMMITTED cas.authn.jdbc.query[0].dialect=org.hibernate.dialect.MySQLDialect cas.authn.jdbc.query[0].leakThreshold=10 cas.authn.jdbc.query[0].propagationBehaviorName=PROPAGATION_REQUIRED cas.authn.jdbc.query[0].batchSize=1 cas.authn.jdbc.query[0].user=root #cas.authn.jdbc.query[0].ddlAuto=create-drop cas.authn.jdbc.query[0].maxAgeDays=180 cas.authn.jdbc.query[0].password=123456 cas.authn.jdbc.query[0].autocommit=false cas.authn.jdbc.query[0].driverClass=com.mysql.jdbc.Driver cas.authn.jdbc.query[0].idleTimeout=5000 # cas.authn.jdbc.query[0].credentialCriteria= # cas.authn.jdbc.query[0].name= # cas.authn.jdbc.query[0].order=0 # cas.authn.jdbc.query[0].dataSourceName= # cas.authn.jdbc.query[0].dataSourceProxy=false cas.authn.jdbc.query[0].fieldPassword=password # cas.authn.jdbc.query[0].fieldExpired= # cas.authn.jdbc.query[0].fieldDisabled= # cas.authn.jdbc.query[0].principalAttributeList=sn,cn:commonName,givenName #cas.authn.jdbc.query[0].passwordEncoder.type=DEFAULT #cas.authn.jdbc.query[0].passwordEncoder.type=com.example.CustomPasswordEncoder #cas.authn.jdbc.query[0].passwordEncoder.characterEncoding=UTF-8 #cas.authn.jdbc.query[0].passwordEncoder.encodingAlgorithm=MD5 #cas.authn.jdbc.query[0].passwordEncoder.secret= #cas.authn.jdbc.query[0].passwordEncoder.strength=16 # cas.authn.jdbc.query[0].principalTransformation.suffix= # cas.authn.jdbc.query[0].principalTransformation.caseConversion=NONE|UPPERCASE|LOWERCASE # cas.authn.jdbc.query[0].principalTransformation.prefix= # STEP4 END ## # CAS Delegated Authentication # #cas.authn.pac4j.bitbucket.clientName=Bitbucket #cas.authn.pac4j.dropbox.clientName=Dropbox #cas.authn.pac4j.facebook.clientName=Facebook #cas.authn.pac4j.foursquare.clientName=Foursquare #cas.authn.pac4j.github.clientName=Github #cas.authn.pac4j.google.clientName=Google #cas.authn.pac4j.linkedIn.clientName=LinkedIn #cas.authn.pac4j.paypal.clientName=PayPal #cas.authn.pac4j.twitter.clientName=Twitter #cas.authn.pac4j.yahoo.clientName=Yahoo #cas.authn.pac4j.windowsLive.clientName=Windows Live #cas.authn.pac4j.wordpress.clientName=WordPress #多屬性 cas.authn.attributeRepository.jdbc[0].singleRow=true cas.authn.attributeRepository.jdbc[0].order=0 cas.authn.attributeRepository.jdbc[0].url=jdbc:mysql://127.0.0.1:3306/CASTEST?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false cas.authn.attributeRepository.jdbc[0].username=user_name cas.authn.attributeRepository.jdbc[0].user=root cas.authn.attributeRepository.jdbc[0].password=123456 cas.authn.attributeRepository.jdbc[0].sql=select * from cms_auth_user where {0} cas.authn.attributeRepository.jdbc[0].dialect=org.hibernate.dialect.MySQLDialect cas.authn.attributeRepository.jdbc[0].ddlAuto=none cas.authn.attributeRepository.jdbc[0].driverClass=com.mysql.jdbc.Driver cas.authn.attributeRepository.jdbc[0].leakThreshold=10 cas.authn.attributeRepository.jdbc[0].propagationBehaviorName=PROPAGATION_REQUIRED cas.authn.attributeRepository.jdbc[0].batchSize=1 cas.authn.attributeRepository.jdbc[0].healthQuery=SELECT 1 cas.authn.attributeRepository.jdbc[0].failFast=true
其中加粗標藍的都是我修改的內容,簡單說一下:
cas.authn.accept.users=casuser::Mellon這個配置記得刪掉,這就是那個寫死的用戶
cas.authn.jdbc.query[0]這些配置就是數據庫驗證相關的內容
在cas.authn.jdbc.query[0].sql中,程序會把你登錄時輸入的用戶名作為參數傳進去
cas.authn.jdbc.query[0].fieldPassword則是指明那一列對應的是你輸入的密碼,目前沒有做MD5,怎么做MD5下一篇一起說。
至此這節該說的說完了,有些朋友可能會納悶配置文件中的其它標藍加粗內容是干什么的,不要急我們下節再講,你可以先把這些我沒提到的標藍內容刪掉,跑起來試試現在服務端是否真的通過數據庫驗證了。