java 整合 cas系統 服務端和客戶端配置
http://blog.csdn.net/yunye114105/article/details/7997041
參考:
http://blog.csdn.net/diyagea/article/details/50638737
(配置SSL協議)http://www.cnblogs.com/notDog/p/5264666.html
背景
有幾個相對獨立的java的web應用系統, 各自有自己的登陸驗證功能,使用者在使用不同的系統的時候,需要登陸不同的系統。現在需要提供一個統一的登陸/登出介面, 而不修改各個系統原來的登陸驗證機制。於是採用單點登入系統CAS。
使用步驟
要使用單點登入,需要部署CAS系統, CAS服務端可以直接部署在tomcat下執行, 對於CAS服務端來說,所有要整合單點登入的web應用都是它的一個客戶端, CAS有客戶端jar包, 客戶端web應用需要引入CAS客戶端的jar包,這樣CAS系統的服務端和客戶端web應用程式端才能通訊。
客戶端web應用程式的通過配置web.xml,新增CAS需要的各種過濾器,來實現和CAS伺服器通訊, 使用者資訊驗證工作在CAS服務端統一完成, 驗證通過後,客戶端web應用程式只需要補全自己的Session資訊即可。
各個客戶端web應用程式需要使用一個公用的使用者表。
第一步 部署CAS系統服務端
1.從官網http://developer.jasig.org/cas/下載CAS Server, 將cas-server-webapp-3.4.12.war解壓, 可以看到是一個標準的java的web應用, 可以直接部署到tomcat的webapps目錄下的,我這裡假設部署的路徑是{tomcat_home}/webapps/cas。
2. CAS預設需要tomcat配置SSL協議,使用https協議通訊的。 由於專案是企事業單位內部的系統,不需要這麼高的安全級別, 可以簡化操作,不走SSL協議。修改下配置檔案\WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml, 如下, 將預設的true改成false即可。
[html] view plain copy
- <bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
- p:cookieSecure="false"
- p:cookieMaxAge="-1"
- p:cookieName="CASTGC"
- p:cookiePath="/cas" />
3.配置登入的驗證邏輯, 修改配置檔案cas\WEB-INF\deployerConfigContext.xml。在authenticationHandlers中配置驗證方式,我這裡配置資料庫查詢語句來實現使用者名稱和密碼的驗證。
[html] view plain copy
- <property name="authenticationHandlers">
- <list>
- <!--
- | This is the authentication handler that authenticates services by means of callback via SSL, thereby validating
- | a server side SSL certificate.
- +-->
- <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
- p:httpClient-ref="httpClient" />
- <!--
- | This is the authentication handler declaration that every CAS deployer will need to change before deploying CAS
- | into production. The default SimpleTestUsernamePasswordAuthenticationHandler authenticates UsernamePasswordCredentials
- | where the username equals the password. You will need to replace this with an AuthenticationHandler that implements your
- | local authentication strategy. You might accomplish this by coding a new such handler and declaring
- | edu.someschool.its.cas.MySpecialHandler here, or you might use one of the handlers provided in the adaptors modules.
- +-->
- <bean class="org.jasig.cas.adaptors.jdbc.SearchModeSearchDatabaseAuthenticationHandler">
<property name="dataSource" ref="ds"/>
<property name="tableUsers" value="user"/>
<property name="fieldUser" value="username"/>
<property name="fieldPassword" value="password"/>
</bean> - <!-- <bean
- class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" /> -->
- <bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
- <property name="sql" value="select password from userTable where userName=?" />
- <property name="passwordEncoder" ref="passwordEncoder"/>
- <property name="dataSource" ref="dataSource" />
- </bean> -->
- </list>
- </property>
密碼加密方法我這裡使用MD5, 配置passwordEncoder的bean
[html] view plain copy
- <bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire="byName">
- <constructor-arg value="MD5"/>
- </bean>
在配置一個名稱為dataSource的資料來源
[html] view plain copy
- <bean id="dataSource" class="org.logicalcobwebs.proxool.ProxoolDataSource">
- <property name="driver" value="com.microsoft.sqlserver.jdbc.SQLServerDriver"></property>
- <property name="driverUrl" value="jdbc:sqlserver://localhost:1433;databaseName=testDB;"></property>
- <property name="user" value="sa"></property>
- <property name="password" value="123456"></property>
- <property name="maximumConnectionCount" value="100"></property>
- <property name="minimumConnectionCount" value="1"></property>
- </bean>
資料來源的配置根據自己的實際情況來配置, 需要的jar如果lib下面沒有,自己複製進去, 不然資料來源連不上報錯。
4. 現在服務端就配置好了, 如果需要定製登入/登出頁面的話(實際專案基本上都需要修改), 修改cas\WEB-INF\view\jsp\default\ui\下面的casLoginView.jsp和casLogoutView.jsp就可以了
第二步 客戶端web應用程式整合CAS
1. 從官網 http://developer.jasig.org/cas-clients/ 下載CAS Client, 將客戶端的jar,如cas-client-core-3.2.1.jar引入到web應用程式的classpath中
2 .配置web.xml檔案, 主要是新增過濾器攔截通訊, 下面的例項程式碼, 假設web應用程式的埠是8080
[html] view plain copy
- <!-- CAS 單點登入(SSO) 過濾器配置 (start) -->
- <!-- 該過濾器用於實現單點登出功能。-->
- <filter>
- <filter-name>CAS Single Sign Out Filter</filter-name>
- <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>CAS Single Sign Out Filter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <!-- CAS: 用於單點退出 -->
- <listener>
- <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
- </listener>
- <!-- 該過濾器負責使用者的認證工作,必須啟用它 -->
- <filter>
- <filter-name>CASFilter</filter-name>
- <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
- <init-param>
- <param-name>casServerLoginUrl</param-name>
- <!-- 下面的URL是Cas伺服器的登入地址 -->
- <param-value>http://CAS服務端所在伺服器IP:8080/cas/login</param-value>
- </init-param>
- <init-param>
- <param-name>serverName</param-name>
- <!-- 下面的URL是具體某一個應用的訪問地址 -->
- <param-value>http://具體web應用程式所在伺服器IP:8080</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>CASFilter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <!-- 該過濾器負責對Ticket的校驗工作,必須啟用它 -->
- <filter>
- <filter-name>CAS Validation Filter</filter-name>
- <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
- <init-param>
- <param-name>casServerUrlPrefix</param-name>
- <!-- 下面的URL是Cas伺服器的認證地址 -->
- <param-value>http://CAS服務端所在伺服器IP:8080/cas</param-value>
- </init-param>
- <init-param>
- <param-name>serverName</param-name>
- <!-- 下面的URL是具體某一個應用的訪問地址 -->
- <param-value>http://具體web應用程式所在伺服器IP:8080</param-value>
- </init-param>
- <init-param>
- <param-name>renew</param-name>
- <param-value>false</param-value>
- </init-param>
- <init-param>
- <param-name>gateway</param-name>
- <param-value>false</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>CAS Validation Filter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <!--
- 該過濾器負責實現HttpServletRequest請求的包裹,
- 比如允許開發者通過HttpServletRequest的getRemoteUser()方法獲得SSO登入使用者的登入名,可選配置。
- -->
- <filter>
- <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
- <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <!--
- 該過濾器使得開發者可以通過org.jasig.cas.client.util.AssertionHolder來獲取使用者的登入名。
- 比如AssertionHolder.getAssertion().getPrincipal().getName()。
- -->
- <filter>
- <filter-name>CAS Assertion Thread Local Filter</filter-name>
- <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
- </filter>
- <filter-mapping>
- <filter-name>CAS Assertion Thread Local Filter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <!-- 自動根據單點登入的結果設定本系統的使用者資訊(具體某一個應用實現) -->
- <filter>
- <filter-name>CasForInvokeContextFilter</filter-name>
- <filter-class>com.cm.demo.filter.CasForInvokeContextFilter</filter-class>
- <init-param>
- <param-name>appId</param-name>
- <param-value>a5ea611bbff7474a81753697a1714fb0</param-value>
- </init-param>
- </filter>
- <filter-mapping>
- <filter-name>CasForInvokeContextFilter</filter-name>
- <url-pattern>/*</url-pattern>
- </filter-mapping>
- <!-- CAS 單點登入(SSO) 過濾器配置 (end) -->
4. 注意上步配置檔案中,過濾器CasForInvokeContextFilter的實現是需要在具體的應用中實現的,他的目的是, CAS服務端登入驗證成功後,會將登入使用者的使用者名稱攜帶回來, 這時客戶端web應用程式需要根據使用者名稱從資料庫使用者表中查詢到使用者的Id等資訊, 並填充到Session中, 這樣,客戶端應用程式原來的驗證邏輯就不會出問題了, 因為我們一般都是通過驗證session中是否含有當前登入的使用者的ID來進行登入驗證的。
下面是CasForInvokeContextFilter的一個簡單實現。
[java] view plain copy
- /**
- * 該過濾器使用者從CAS認證伺服器中獲取登入使用者使用者名稱,並填充必要的Session.
- * @author jiarong_cheng
- * @created 2012-7-12
- */
- public class CasForInvokeContextFilter implements Filter {
- @Override
- public void destroy() {
- }
- @Override
- public void doFilter(ServletRequest request, ServletResponse response,
- FilterChain chain) throws IOException, ServletException {
- HttpSession session = ((HttpServletRequest) request).getSession();
- //如果session中沒有使用者資訊,則填充使用者資訊
- if (session.getAttribute("j_userId") == null) {
- //從Cas伺服器獲取登入賬戶的使用者名稱
- Assertion assertion = AssertionHolder.getAssertion();
- String userName = assertion.getPrincipal().getName();
- try {
- //根據單點登入的賬戶的使用者名稱,從資料庫使用者表查詢使用者資訊, 填充到session中
- User user = UserDao.getUserByName(userName);
- session.setAttribute("username", userName);
- session.setAttribute("userId", user.getId());
- } catch (Exception e) {
- e.printStackTrace();
- }
- }
- chain.doFilter(request, response);
- }
- @Override
- public void init(FilterConfig config) throws ServletException {
- }
- }
到此,就完成了, 當你訪問具體應用的網址, 如http://具體應用IP: 8080/ ,就會跳轉到CAS伺服器的登陸頁面: http://CAS伺服器IP: 8080/ 進行登入驗證, 驗證通過後, 又會跳轉回應用的網址。
第三步 單點登出
這個比較簡單, 只要在系統的登出事件中, 將URL訪問地址指向CAS服務登出的servlet, 就可以了。
http://CAS伺服器IP:8080/cas/logout