SSO之CAS单点登录

2024-09-04 21:08
文章标签 登录 单点 cas sso

本文主要是介绍SSO之CAS单点登录,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

本文目录:

  • 一、概述
  • 二、演示环境
  • 三、JDK安装配置
  • 四、安全证书配置
  • 五、部署CAS-Server相关的Tomcat
  • 六、部署CAS-Client相关的Tomcat
  • 七、 测试验证SSO

一、概述

此文的目的就是为了帮助初步接触SSO和CAS 的人员提供一个入门指南,一步一步演示如何实现基于CAS的单点登录。

CAS的官网:http://www.jasig.org/cas

二、演示环境

本文演示过程在同一个机器上的(也可以在三台实体机器或者三个的虚拟机上),环境如下:

  • windows7 64位,主机名称:michael-pc
  • JDK 1.6.0_18
  • Tomcat 6.0.29
  • CAS-server-3.4.11、CAS-client-3.2.1
根据演示需求, 用修改hosts 文件的方法添加域名最简单方便(这个非常重要),在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三条
127.0.0.1    demo.micmiu.com
127.0.0.1    app1.micmiu.com
127.0.0.1    app2.micmiu.com
  • demo.micmiu.com  =>> 对应部署cas server的tomcat,这个虚拟域名还用于证书生成
  • app1.micmiu.com  =>>  对应部署app1 的tomcat
  • app2.micmiu.com   =>> 对应部署app2 的tomcat
 

三、JDK安装配置

这个详细过程就不在描述,如果是免安装版的,确保环境变量配置正确。

本机环境变量:JAVA_HOME=D:\jdk,如果看到以下信息则表示安装成功:

四、安全证书配置

有关keytool工具的详细运用见:http://www.micmiu.com/lang/java/keytool-start-guide/

4.1. 生成证书:

1keytool -genkey -alias ssodemo -keyalg RSA -keysize 1024 -keypass michaelpwd -validity 365 -keystore g:\sso\ssodemo.keystore -storepass michaelpwd

ps:

  • 截图中需要输入的姓名和上面hosts文件中配置的一致;
  • keypass 和 storepass 两个密码要一致,否则下面tomcat 配置https 访问失败;

4.2.导出证书:

1keytool -export -alias ssodemo -keystore g:\sso\ssodemo.keystore -fileg:\sso\ssodemo.crt -storepass michaelpwd

4.3.客户端导入证书:

1keytool -import -keystore %JAVA_HOME%\jre\lib\security\cacerts -fileg:\sso\ssodemo.crt -alias ssodemo

ps:该命令中输入的密码和上面输入的不是同一个密码;如果是多台机器演示,需要在每一台客户端导入该证书

五、部署CAS-Server相关的Tomcat

5.1. 配置HTTPS

解压apache-tomcat-6.0.29.tar.gz并重命名后的路径为 G:\sso\tomcat-cas,在文件 conf/server.xml文件找到:

1<!--
2    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
3               maxThreads="150" scheme="https" secure="true"
4               clientAuth="false" sslProtocol="TLS" />
5    -->

修改成如下:

1<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
2               maxThreads="150" scheme="https" secure="true"
3               keystoreFile="g:/sso/ssodemo.keystore" keystorePass="michaelpwd"
4               clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8"

参数说明:

  • keystoreFile 就是4.1中创建证书的路径
  • keystorePass 就是4.1中创建证书的密码

5.2. 验证HTTPS配置
其他按照默认配置不作修改,双击%TOMCAT_HOME%\bin\startup.bat 启动tomcat-cas 验证https访问配置:


如果看到上述界面表示https 访问配置成功。

5.3 部署CAS-Server
CAS-Server 下载地址:http://www.jasig.org/cas/download
本文以cas-server-3.4.11-release.zip 为例,解压提取cas-server-3.4.11/modules/cas-server-webapp-3.4.11.war文件,把改文件copy到 G:\sso\tomcat-cas\webapps\ 目下,并重命名为:cas.war.
启动tomcat-cas,在浏览器地址栏输入:https://demo.micmiu.com:8443/cas/login ,回车

CAS-server的默认验证规则:只要用户名和密码相同就认证通过(仅仅用于测试,生成环境需要根据实际情况修改),输入admin/admin 点击登录,就可以看到登录成功的页面:

看到上述页面表示CAS-Server已经部署成功。

六、部署CAS-Client相关的Tomcat

6.1Cas-Client 下载

CAS-Client 下载地址:http://downloads.jasig.org/cas-clients/

以cas-client-3.2.1-release.zip 为例,解压提取cas-client-3.2.1/modules/cas-client-core-3.2.1.jar

借以tomcat默认自带的 webapps\examples 作为演示的简单web项目

6.2 安装配置 tomcat-app1

解压apache-tomcat-6.0.29.tar.gz并重命名后的路径为 G:\sso\tomcat-app1,修改tomcat的启动端口,在文件conf/server.xml文件找到如下内容:

1<Connector port="8080" protocol="HTTP/1.1"
2               connectionTimeout="20000"
3               redirectPort="8443" />
4<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

修改成如下:

1<Connector port="18080" protocol="HTTP/1.1"
2               connectionTimeout="20000"
3               redirectPort="18443" />
4<Connector port="18009" protocol="AJP/1.3" redirectPort="18443" />

启动tomcat-app1,浏览器输入 http://app1.micmiu.com:18080/examples/servlets/ 回车:

看到上述界面表示tomcat-app1的基本安装配置已经成功。

接下来复制 client的lib包cas-client-core-3.2.1.jar到 tomcat-app1\webapps\examples\WEB-INF\lib\目录下, 在tomcat-app1\webapps\examples\WEB-INF\web.xml 文件中增加如下内容:

1<!-- ======================== 单点登录开始 ======================== -->
2        <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
3        <listener>
4            <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
5        </listener>
6 
7        <!-- 该过滤器用于实现单点登出功能,可选配置。 -->
8        <filter>
9            <filter-name>CAS Single Sign Out Filter</filter-name>
10            <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
11        </filter>
12        <filter-mapping>
13            <filter-name>CAS Single Sign Out Filter</filter-name>
14            <url-pattern>/*</url-pattern>
15        </filter-mapping>
16 
17        <filter>
18            <filter-name>CAS Filter</filter-name>
19            <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
20            <init-param>
21                <param-name>casServerLoginUrl</param-name>
22                <param-value>https://demo.micmiu.com:8443/cas/login</param-value>
23            </init-param>
24            <init-param>
25                <param-name>serverName</param-name>
26                <param-value>http://app1.micmiu.com:18080</param-value>
27            </init-param>
28        </filter>
29        <filter-mapping>
30            <filter-name>CAS Filter</filter-name>
31            <url-pattern>/*</url-pattern>
32        </filter-mapping>
33        <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
34        <filter>
35            <filter-name>CAS Validation Filter</filter-name>
36            <filter-class>
37                org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
38            <init-param>
39                <param-name>casServerUrlPrefix</param-name>
40                <param-value>https://demo.micmiu.com:8443/cas</param-value>
41            </init-param>
42            <init-param>
43                <param-name>serverName</param-name>
44                <param-value>http://app1.micmiu.com:18080</param-value>
45            </init-param>
46        </filter>
47        <filter-mapping>
48            <filter-name>CAS Validation Filter</filter-name>
49            <url-pattern>/*</url-pattern>
50        </filter-mapping>
51 
52        <!--
53            该过滤器负责实现HttpServletRequest请求的包裹,
54            比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
55        -->
56        <filter>
57            <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
58            <filter-class>
59                org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
60        </filter>
61        <filter-mapping>
62            <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
63            <url-pattern>/*</url-pattern>
64        </filter-mapping>
65 
66    <!--
67        该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
68        比如AssertionHolder.getAssertion().getPrincipal().getName()。
69        -->
70        <filter>
71            <filter-name>CAS Assertion Thread Local Filter</filter-name>
72            <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
73        </filter>
74        <filter-mapping>
75            <filter-name>CAS Assertion Thread Local Filter</filter-name>
76            <url-pattern>/*</url-pattern>
77        </filter-mapping>
78 
79        <!-- ======================== 单点登录结束 ======================== -->

有关cas-client的web.xml修改的详细说明见官网介绍:

https://wiki.jasig.org/display/CASC/Configuring+the+JA-SIG+CAS+Client+for+Java+in+the+web.xml

6.3 安装配置 tomcat-app2

解压apache-tomcat-6.0.29.tar.gz并重命名后的路径为 G:\sso\tomcat-app2,修改tomcat的启动端口,在文件 conf/server.xml文件找到如下内容:

1<Connector port="8080" protocol="HTTP/1.1"
2               connectionTimeout="20000"
3               redirectPort="8443" />
4<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

修改成如下:

1<Connector port="28080" protocol="HTTP/1.1"
2               connectionTimeout="20000"
3               redirectPort="28443" />
4<Connector port="28009" protocol="AJP/1.3" redirectPort="28443" />

启动tomcat-app2,浏览器输入 http://app2.micmiu.com:28080/examples/servlets/ 回车,按照上述6.2中的方法验证是否成功。

同6.2中的复制 client的lib包cas-client-core-3.2.1.jar到 tomcat-app2\webapps\examples\WEB-INF\lib\目录下, 在tomcat-app2\webapps\examples\WEB-INF\web.xml 文件中增加如下内容:

1<!-- ======================== 单点登录开始 ======================== -->
2        <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
3        <listener>
4            <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
5        </listener>
6 
7        <!-- 该过滤器用于实现单点登出功能,可选配置。 -->
8        <filter>
9            <filter-name>CAS Single Sign Out Filter</filter-name>
10            <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
11        </filter>
12        <filter-mapping>
13            <filter-name>CAS Single Sign Out Filter</filter-name>
14            <url-pattern>/*</url-pattern>
15        </filter-mapping>
16 
17        <filter>
18            <filter-name>CAS Filter</filter-name>
19            <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
20            <init-param>
21                <param-name>casServerLoginUrl</param-name>
22                <param-value>https://demo.micmiu.com:8443/cas/login</param-value>
23            </init-param>
24            <init-param>
25                <param-name>serverName</param-name>
26                <param-value>http://app2.micmiu.com:28080</param-value>
27            </init-param>
28        </filter>
29        <filter-mapping>
30            <filter-name>CAS Filter</filter-name>
31            <url-pattern>/*</url-pattern>
32        </filter-mapping>
33        <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
34        <filter>
35            <filter-name>CAS Validation Filter</filter-name>
36            <filter-class>
37                org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
38            <init-param>
39                <param-name>casServerUrlPrefix</param-name>
40                <param-value>https://demo.micmiu.com:8443/cas</param-value>
41            </init-param>
42            <init-param>
43                <param-name>serverName</param-name>
44                <param-value>http://app2.micmiu.com:28080</param-value>
45            </init-param>
46        </filter>
47        <filter-mapping>
48            <filter-name>CAS Validation Filter</filter-name>
49            <url-pattern>/*</url-pattern>
50        </filter-mapping>
51 
52        <!--
53            该过滤器负责实现HttpServletRequest请求的包裹,
54            比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
55        -->
56        <filter>
57            <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
58            <filter-class>
59                org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
60        </filter>
61        <filter-mapping>
62            <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
63            <url-pattern>/*</url-pattern>
64        </filter-mapping>
65 
66        <!--
67            该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
68            比如AssertionHolder.getAssertion().getPrincipal().getName()。
69        -->
70        <filter>
71            <filter-name>CAS Assertion Thread Local Filter</filter-name>
72            <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
73        </filter>
74        <filter-mapping>
75            <filter-name>CAS Assertion Thread Local Filter</filter-name>
76            <url-pattern>/*</url-pattern>
77        </filter-mapping>
78 
79        <!-- ======================== 单点登录结束 ======================== -->

七、 测试验证SSO

启动之前配置好的三个tomcat分别为:tomcat-cas、tomcat-app1、tomcat-app2.

7.1  基本的测试

预期流程: 打开app1 url —-> 跳转cas server 验证 —-> 显示app1的应用 —-> 打开app2 url —-> 显示app2应用 —-> 注销cas server —-> 打开app1/app2 url —-> 重新跳转到cas server 验证.

打开浏览器地址栏中输入:http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample,回车:

跳转到验证页面:

验证通过后显示如下:

此时访问app2就不再需要验证:

地址栏中输入:https://demo.micmiu.com:8443/cas/logout,回车显示:

上述表示 认证注销成功,此时如果再访问 : http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample 或 http://app2.micmiu.com:28080/examples/servlets/servlet/HelloWorldExample 需要重新进行认证。

7.2  获取登录用户的信息

修改HelloWorldExample.java,重新编译替换webapps\examples\WEB-INF\classes\HelloWorldExample.class文件,修改后的HelloWorldExample.java代码如下:

1import java.io.*;
2import java.util.*;
3import java.util.Map.Entry;
4 
5import javax.servlet.*;
6import javax.servlet.http.*;
7 
8import org.jasig.cas.client.authentication.AttributePrincipal;
9import org.jasig.cas.client.util.AbstractCasFilter;
10import org.jasig.cas.client.validation.Assertion;
11 
12/**
13 * The simplest possible servlet.
14 *
15 * @author James Duncan Davidson
16 */
17 
18public class HelloWorldExample extends HttpServlet {
19 
20    public void doGet(HttpServletRequest request, HttpServletResponse response)
21            throws IOException, ServletException {
22        ResourceBundle rb = ResourceBundle.getBundle("LocalStrings", request
23                .getLocale());
24        response.setContentType("text/html");
25        PrintWriter out = response.getWriter();
26 
27        out.println("<html>");
28        out.println("<head>");
29 
30        String title = rb.getString("helloworld.title");
31 
32        out.println("<title>" + title + "</title>");
33        out.println("</head>");
34        out.println("<body bgcolor=\"white\">");
35 
36        out.println("<a href=\"../helloworld.html\">");
37        out.println("<img src=\"../images/code.gif\" height=24 "
38                "width=24 align=right border=0 alt=\"view code\"></a>");
39        out.println("<a href=\"../index.html\">");
40        out.println("<img src=\"../images/return.gif\" height=24 "
41                "width=24 align=right border=0 alt=\"return\"></a>");
42        out.println("<h1>" + title + "</h1>");
43 
44        Assertion assertion = (Assertion) request.getSession().getAttribute(
45                AbstractCasFilter.CONST_CAS_ASSERTION);
46 
47        if (null != assertion) {
48            out.println(" Log | ValidFromDate =:"
49                    + assertion.getValidFromDate() + "<br>");
50            out.println(" Log | ValidUntilDate =:"
51                    + assertion.getValidUntilDate() + "<br>");
52            Map<Object, Object> attMap = assertion.getAttributes();
53            out.println(" Log | getAttributes Map size = " + attMap.size()
54                    "<br>");
55            for (Entry<Object, Object> entry : attMap.entrySet()) {
56                out.println("     | " + entry.getKey() + "=:"
57                        + entry.getValue() + "<br>");
58            }
59 
60        }
61        AttributePrincipal principal = assertion.getPrincipal();
62 
63        // AttributePrincipal principal = (AttributePrincipal) request
64        // .getUserPrincipal();
65 
66        String username = null;
67        out.print(" Log | UserName:");
68        if (null != principal) {
69            username = principal.getName();
70            out.println("<span style='color:red;'>" + username + "</span><br>");
71        }
72 
73        out.println("</body>");
74        out.println("</html>");
75    }
76}

再进行上述测试显示结果如下:

http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample :

http://app2.micmiu.com:28080/examples/servlets/servlet/HelloWorldExample

从上述页面可以看到通过认证的用户名。

到此已经全部完成了CAS单点登录实例演示。

这篇关于SSO之CAS单点登录的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1137038

相关文章

springboot security验证码的登录实例

《springbootsecurity验证码的登录实例》:本文主要介绍springbootsecurity验证码的登录实例,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录前言代码示例引入依赖定义验证码生成器定义获取验证码及认证接口测试获取验证码登录总结前言在spring

最新Spring Security实战教程之表单登录定制到处理逻辑的深度改造(最新推荐)

《最新SpringSecurity实战教程之表单登录定制到处理逻辑的深度改造(最新推荐)》本章节介绍了如何通过SpringSecurity实现从配置自定义登录页面、表单登录处理逻辑的配置,并简单模拟... 目录前言改造准备开始登录页改造自定义用户名密码登陆成功失败跳转问题自定义登出前后端分离适配方案结语前言

Oracle登录时忘记用户名或密码该如何解决

《Oracle登录时忘记用户名或密码该如何解决》:本文主要介绍如何在Oracle12c中忘记用户名和密码时找回或重置用户账户信息,文中通过代码介绍的非常详细,对同样遇到这个问题的同学具有一定的参... 目录一、忘记账户:二、忘记密码:三、详细情况情况 1:1.1. 登录到数据库1.2. 查看当前用户信息1.

MobaXterm远程登录工具功能与应用小结

《MobaXterm远程登录工具功能与应用小结》MobaXterm是一款功能强大的远程终端软件,主要支持SSH登录,拥有多种远程协议,实现跨平台访问,它包括多会话管理、本地命令行执行、图形化界面集成和... 目录1. 远程终端软件概述1.1 远程终端软件的定义与用途1.2 远程终端软件的关键特性2. 支持的

Oracle数据库如何切换登录用户(system和sys)

《Oracle数据库如何切换登录用户(system和sys)》文章介绍了如何使用SQL*Plus工具登录Oracle数据库的system用户,包括打开登录入口、输入用户名和口令、以及切换到sys用户的... 目录打开登录入口登录system用户总结打开登录入口win+R打开运行对话框,输php入:sqlp

python实现自动登录12306自动抢票功能

《python实现自动登录12306自动抢票功能》随着互联网技术的发展,越来越多的人选择通过网络平台购票,特别是在中国,12306作为官方火车票预订平台,承担了巨大的访问量,对于热门线路或者节假日出行... 目录一、遇到的问题?二、改进三、进阶–展望总结一、遇到的问题?1.url-正确的表头:就是首先ur

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

【测试】输入正确用户名和密码,点击登录没有响应的可能性原因

目录 一、前端问题 1. 界面交互问题 2. 输入数据校验问题 二、网络问题 1. 网络连接中断 2. 代理设置问题 三、后端问题 1. 服务器故障 2. 数据库问题 3. 权限问题: 四、其他问题 1. 缓存问题 2. 第三方服务问题 3. 配置问题 一、前端问题 1. 界面交互问题 登录按钮的点击事件未正确绑定,导致点击后无法触发登录操作。 页面可能存在

hdu 1754 I Hate It(线段树,单点更新,区间最值)

题意是求一个线段中的最大数。 线段树的模板题,试用了一下交大的模板。效率有点略低。 代码: #include <stdio.h>#include <string.h>#define TREE_SIZE (1 << (20))//const int TREE_SIZE = 200000 + 10;int max(int a, int b){return a > b ? a :

Shell脚本实现自动登录服务器

1.登录脚本 login_server.sh #!/bin/bash# ReferenceLink:https://yq.aliyun.com/articles/516347#show all host infos of serverList.txtif [[ -f ./serverList.txt ]]thenhostNum=`cat ./serverList.txt | wc -l`e