CAS單點登錄系列:
CAS 5.1.x 的搭建和使用(一)—— 通過Overlay搭建服務端 CAS 5.1.x 的搭建和使用(二)—— 通過Overlay搭建服務端-其它配置說明 CAS 5.1.x 的搭建和使用(三)—— 官方示例來熟悉客戶端搭建 CAS 5.1.x 的搭建和使用(四)—— 配置使用HTTP協議訪問的服務端
這節比較簡單。
前面第一篇說道了配置HTTPS訪問需要三件事:
1、生成keystore,keystore的域(CN,如果不知道CN是哪個,請參看http://www.cnblogs.com/flying607/p/7598248.html#keystore)要和客戶端的配置的過濾器中的各個服務端地址的域保持一致,且不能是IP。
2、配置Tomcat使用該keystore來支持https
3、客戶端的jre的證書倉庫(cacerts)要加上該keystore生成的證書
如果我們的客戶端就是要使用IP來訪問服務端,怎么辦?
答案就是配置成HTTP訪問,如果你之前配置了HTTPS,那么步驟如下:
1、服務端的Tomcat改回普通的http Connector訪問,比如用原來的8080端口配置方式。
2、建議從客戶端jre的證書倉庫中刪掉之前為做HTTPS單點登錄加的那個證書:
keytool -delete -alias cas -keystore C:/Java/jdk1.8.0_91/jre/lib/security/cacerts
做完這兩步還不夠,你會發現每個客戶端的訪問雖然都需要登錄服務端,但是彼此的登錄狀態是不互通的。所以還有第三步
3、在application.properties里加上這么一句:
cas.tgc.secure=false
如果登錄狀態還是不互通,請清空瀏覽器的cookie,重開瀏覽器試試。
參考:https://apereo.github.io/cas/5.1.x/installation/Configuration-Properties.html#ticket-granting-cookie
如果你之前沒配置HTTPS,就是用的HTTP,那么你只需要上文的第三步,也就是加個配置:cas.tgc.secure=false
2019年7月23日補充:
考慮到一些人沒有看過前邊的文章,這里補充一下,還有一個地方需要修改,參看 https://www.cnblogs.com/flying607/p/7600947.html 第一段內容
——在HTTPSandIMAPS-100xxxxxx.json中配置"serviceId" : "^(https|imaps|http)://.*"