單點登錄解決方案-CAS

　關於CAS的簡單介紹:　　　

　　 一,從結構上看，CAS 包含兩個部分： CAS Server 和 CAS Client。CAS Server 需要獨立部署，主要負責對用戶的認證工作；CAS Client 負責處理對客戶端受保護資源的訪問請求，需要登錄時，重定向到 CAS Server。

 

  　　二,SSO（Single Sign On）單點登錄訪問流程主要有以下步驟： 

 

　　1. 訪問服務：SSO客戶端發送請求訪問應用系統提供的服務資源。

 

　　2. 定向認證：SSO客戶端會重定向用戶請求到SSO服務器。

 

　　3. 用戶認證：用戶身份認證。

 

　　4. 發放票據：SSO服務器會產生一個隨機的Service Ticket。

 

　　5. 驗證票據：SSO服務器驗證票據Service Ticket的合法性，驗證通過后，允許客戶端訪問服務。

 

　　6. 傳輸用戶信息：SSO服務器驗證票據通過后，傳輸用戶認證結果信息給客戶端。

 

　　三,CAS Server的部署

　　Cas服務端其實就是一個war包。將其放在tomcat的webapp中啟動進行解壓,訪問http://localhost:8080/cas/login即可看到登錄頁  

　　固定 u/p:casuser /Mellon         想用自己數據庫中的用戶名登錄請參看第五點數據源的配置.

 

　　四,CAS Server的配置　

　　 1,修改TOMCAT的端口和修改cas的WEB-INF/cas.properties ,兩者的端口要一致.

　　 2, 去除https認證　　　

                  CAS默認使用的是HTTPS協議，如果使用HTTPS協議需要SSL安全證書（需向特定的機構申請和購買） 。如果對安全要求不高或是在開發測試階段，可使用HTTP協議。我們這里講解通過修改配置，讓CAS使用HTTP協議。

 

（1）修改cas的WEB-INF/deployerConfigContext.xml       找到下面的配置

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
p:httpClient-ref="httpClient"/>

 

　　　　　　　　　　這里需要增加參數p:requireSecure="false"，requireSecure屬性意思為是否需要安全驗證，即HTTPS，false為不采用

 

（2）修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml       找到下面配置

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"

      p:cookieSecure="true"

      p:cookieMaxAge="-1"

      p:cookieName="CASTGC"

      p:cookiePath="/cas" />

 

參數p:cookieSecure="true"，同理為HTTPS驗證相關，TRUE為采用HTTPS驗證，FALSE為不采用https驗證。

 

參數p:cookieMaxAge="-1"，是COOKIE的最大生命周期，-1為無生命周期，即只在當前打開的窗口有效，關閉或重新打開其它窗口，仍會要求驗證。可以根據需要修改為大於0的數字，比如3600等，意思是在3600秒內，打開任意窗口，都不需要驗證。

 

我們這里將cookieSecure改為false ,  cookieMaxAge 改為3600

 

（3）修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml           找到下面配置

 

<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
p:cookieSecure="true"
p:cookieMaxAge="-1"
p:cookieName="CASPRIVACY"
p:cookiePath="/cas" />

 

我們這里將cookieSecure改為false ,  cookieMaxAge 改為3600

 

　　　　五,CAS服務端數據源設置

 

 

　　　　　　（1）修改cas服務端中web-inf下deployerConfigContext.xml ，添加如下配置

 

<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"  

  p:driverClass="com.mysql.jdbc.Driver"  

  p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/pinyougoudb?characterEncoding=utf8"  

  p:user="root"  

  p:password="123456" />

<bean id="passwordEncoder"

class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"  

c:encodingAlgorithm="MD5"  

p:characterEncoding="UTF-8" />  

<bean id="dbAuthHandler"  

  class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"  

  p:dataSource-ref="dataSource"  

  p:sql="select password from tb_user where username = ?"  

  p:passwordEncoder-ref="passwordEncoder"/>  

 

　　　　　　　　　　　　　　　　　　　然后在配置文件開始部分找到如下配置

 

 <bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">

        <constructor-arg>

            <map>               

                <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver" />

                <entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" />

            </map>

        </constructor-arg>      

        <property name="authenticationPolicy">

            <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy" />

        </property>

</bean>

 

　　　　　　　　　　　　　　　　　　　　其中

 

 <entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" />

 

　　　　　　　　　　　　一句是使用固定的用戶名和密碼，我們在下面可以看到這兩個bean ,如果我們使用數據庫認證用戶名和密碼，需要將這句注釋掉。

 

　　　　　　　　　　　　添加下面這一句配置

 

<entry key-ref="dbAuthHandler" value-ref="primaryPrincipalResolver"/>

 

　　　　　　　　　　（2）將以下三個jar包放入webapps\cas\WEB-INF\lib下  

　　　　　　　　　　　　　　　　　　　

 

 

 客戶端Demo測試步驟如下:

1,創建Maven工程(war)

2.引入依賴

<dependencies>

<!-- cas -->  

<dependency>  

    <groupId>org.jasig.cas.client</groupId>  

    <artifactId>cas-client-core</artifactId>  

    <version>3.3.3</version>  

</dependency>  

<dependency>

<groupId>javax.servlet</groupId>

<artifactId>servlet-api</artifactId>

<version>2.5</version>  

<scope>provided</scope>

</dependency>

</dependencies>  

  <build>  

  <plugins>

      <plugin>  

          <groupId>org.apache.maven.plugins</groupId>  

          <artifactId>maven-compiler-plugin</artifactId>  

          <version>2.3.2</version>  

          <configuration>  

              <source>1.7</source>  

              <target>1.7</target>  

          </configuration>  

      </plugin>  

      <plugin>

<groupId>org.apache.tomcat.maven</groupId>

<artifactId>tomcat7-maven-plugin</artifactId>

<configuration>

<!-- 指定端口 -->

<port>9001</port>

<!-- 請求路徑 -->

<path>/</path>

</configuration>

     </plugin>

  </plugins>  

    </build>

 

 

 

 

 

 

 

 

 

 

3,添加web.xml    配置這部分時要注意和服務端的IP保持一致

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

xmlns="http://java.sun.com/xml/ns/javaee"

xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"

version="2.5">

    <!-- 用於單點退出，該過濾器用於實現單點登出功能，可選配置 -->  

    <listener>  

     <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  

    </listener>  

    <!-- 該過濾器用於實現單點登出功能，可選配置。 -->  

    <filter>  

        <filter-name>CAS Single Sign Out Filter</filter-name>  

       <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  

    </filter>  

    <filter-mapping>  

        <filter-name>CAS Single Sign Out Filter</filter-name>  

        <url-pattern>/*</url-pattern>  

    </filter-mapping>  

    <!-- 該過濾器負責用戶的認證工作，必須啟用它 -->  

    <filter>  

        <filter-name>CASFilter</filter-name>       <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  

        <init-param>  

            <param-name>casServerLoginUrl</param-name>  

            <param-value>http://localhost:9100/cas/login</param-value>  

            <!--這里的server是服務端的IP -->  

        </init-param>  

        <init-param>  

            <param-name>serverName</param-name>  

            <param-value>http://localhost:9001</param-value>

        </init-param>  

    </filter>  

    <filter-mapping>  

        <filter-name>CASFilter</filter-name>  

        <url-pattern>/*</url-pattern>  

    </filter-mapping>  

    <!-- 該過濾器負責對Ticket的校驗工作，必須啟用它 -->  

    <filter>  

        <filter-name>CAS Validation Filter</filter-name>  

        <filter-class>     org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  

        <init-param>  

            <param-name>casServerUrlPrefix</param-name>  

            <param-value>http://localhost:9100/cas</param-value>  

        </init-param>  

        <init-param>  

            <param-name>serverName</param-name>  

            <param-value>http://localhost:9001</param-value>

        </init-param>  

    </filter>  

    <filter-mapping>  

        <filter-name>CAS Validation Filter</filter-name>  

        <url-pattern>/*</url-pattern>  

    </filter-mapping>  

    <!-- 該過濾器負責實現HttpServletRequest請求的包裹， 比如允許開發者通過HttpServletRequest的getRemoteUser()方法獲得SSO登錄用戶的登錄名，可選配置。 -->  

    <filter>  

        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  

        <filter-class>  

            org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  

    </filter>  

    <filter-mapping>  

        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  

        <url-pattern>/*</url-pattern>  

    </filter-mapping>  

    <!-- 該過濾器使得開發者可以通過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登錄名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->  

    <filter>  

        <filter-name>CAS Assertion Thread Local Filter</filter-name>       <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  

    </filter>  

    <filter-mapping>  

        <filter-name>CAS Assertion Thread Local Filter</filter-name>  

        <url-pattern>/*</url-pattern>  

    </filter-mapping>  

</web-app>

 

 

 4,編寫index.jsp進行訪問測試

　　　　　　　　　　　　

<%@ page language="java" contentType="text/html; charset=utf-8"

    pageEncoding="utf-8"%>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<title>測試</title>

</head>

<body>

<%=request.getRemoteUser()%>  //獲取遠程登錄名

</body>

</html>

 

5,再創建一個和上面一樣的工程進行單點登錄測試

 

 

 　　　　　　　　　　　　　　　　六,單點退出

　　　　　　

　　　　　　　　　　　　　　　　　　　　　　我們可以將這個鏈接添加到index.jsp中

<a href="http://localhost:9100/cas/logout">退出登錄</a>

　　　　　　　　　　　　　　　　　　　　　　　　但我們更希望退出登錄后，能自動跳轉到某個頁面，那如何處理呢？

　　　　　　　　　　　　　　　　　　　　　　　　修改cas系統的配置文件cas-servlet.xml

  <bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction"

        p:servicesManager-ref="servicesManager"

        p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/>

　　　　　　　　　　　　　　　　　　　　　　　　改為true后，可以在退出時跳轉頁面到目標頁面，修改index.jsp的退出鏈接

<a href="http://localhost:9100/cas/logout?service=http://www.baidu.com">退出登錄</a>

 

 

　　　　　　　　　　　　　　七,,可能你也看到了,有時候登錄頁不是我們想要的樣子,錯誤提示也不是我們想要的樣子,

　　　　　　　　　　　　　　　　

　　　　　　　　　　　　　　1.　登錄界面改造   :cas系統下WEB-INF\view\jsp\default\ui 目錄下的casLoginView.jsp即為登錄頁,修改的時候注意form表單里面的一些參數要保留

 

　　　　　　　　　　　　　　2.錯誤提示框

<form:errors path="*" id="msg" cssClass="errors" element="div" htmlEscape="false" />

　　　　　　　　　　　　　　　　　　　　　　測試：輸入錯誤的用戶名和密碼，提示是英文。這個提示信息是在WEB-INF\classes目錄下的messages.properties文件中

authenticationFailure.AccountNotFoundException=Invalid credentials.

authenticationFailure.FailedLoginException=Invalid credentials.

　　　　　　　　　　　　　　　　　　　　　　設置國際化為zn_CN  ,修改cas-servlet.xml

<bean id="localeResolver" class="org.springframework.web.servlet.i18n.CookieLocaleResolver" p:defaultLocale="zh_CN" />

　　　　　　　　　　　　　　　　　　　　　　我們需要將此信息拷貝到messages_zh_CN.properties下，並改為中文提示（轉碼）

authenticationFailure.AccountNotFoundException=\u7528\u6237\u4E0D\u5B58\u5728.

authenticationFailure.FailedLoginException=\u5BC6\u7801\u9519\u8BEF.