2. 程式人生 > >單點登陸cas實現2之tomcat支援https訪問

單點登陸cas實現2之tomcat支援https訪問

阿新 發佈:2018-12-02

keystool  參考 https://blog.csdn.net/yjaspire/article/details/82858084

cas伺服器

(1)生成keystore檔案

keytool   -genkey   -keystore  "D:\keystore\localhost.keystore"   -alias   testcj   -keyalg   RSA   -validity  365      -dname  "CN=localhost, OU=org, O=org.cj, L=昆明, ST=雲南, C=中國"   -keypass  testcj  -storepass   testcj

keytool命令如下

(2)修改server.xml檔案-新增如下配置

<Connector SSLEnabled="true" clientAuth="false" keystoreFile="D:\keystore\localhost.keystore" keystorePass="testcj" maxThreads="150" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS"/>

(3)註釋cas.properties下面的配置

//在配置http的時候新增的,如果沒有配置過http可以忽略
tgc.secure=false
warn.cookie.secure=false

啟動tomcat

使用同樣的證書配置兩個客戶端的https

 

 <Connector SSLEnabled="true" clientAuth="false" keystoreFile="D:\keystore\localhost.keystore" keystorePass="testcj" maxThreads="150" port="444" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS"/>
 
 <Connector SSLEnabled="true" clientAuth="false" keystoreFile="D:\keystore\localhost.keystore" keystorePass="testcj" maxThreads="150" port="446" protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" secure="true" sslProtocol="TLS"/>

注意客戶端的埠

除此之外還要配置客戶端的web.xml將所有的http更改為https,如下

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    version="2.5">  
    <!-- 用於單點退出,該過濾器用於實現單點登出功能,可選配置 -->  
    <listener>  
     <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
    </listener>  
    <!-- 該過濾器用於實現單點登出功能,可選配置。 -->  
    <filter>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
       <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <!-- 該過濾器負責使用者的認證工作,必須啟用它 -->  
    <filter>  
        <filter-name>CASFilter</filter-name>       <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
        <init-param>  
            <param-name>casServerLoginUrl</param-name>  
            <param-value>https://localhost/cas/login</param-value>  
            <!--這裡的server是服務端的IP -->  
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>https://localhost</param-value>
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>CASFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <!-- 該過濾器負責對Ticket的校驗工作,必須啟用它 -->  
    <filter>  
        <filter-name>CAS Validation Filter</filter-name>  
        <filter-class>     org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
        <init-param>  
            <param-name>casServerUrlPrefix</param-name>  
            <param-value>https://localhost/cas</param-value>  
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>https://localhost</param-value>
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Validation Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <!-- 該過濾器負責實現HttpServletRequest請求的包裹, 比如允許開發者通過HttpServletRequest的getRemoteUser()方法獲得SSO登入使用者的登入名,可選配置。 -->  
    <filter>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <!-- 該過濾器使得開發者可以通過org.jasig.cas.client.util.AssertionHolder來獲取使用者的登入名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->  
    <filter>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>       <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
</web-app>

更改完所有的配置之後,啟動伺服器和客戶端

發現可以正常訪問,但是在客戶端輸入使用者和密碼後登陸會出現如下錯誤

java.lang.RuntimeException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
	at org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:407)
	at org.jasig.cas.client.validation.AbstractCasProtocolUrlBasedTicketValidator.retrieveResponseFromServer(AbstractCasProtocolUrlBasedTicketValidator.java:45)
	at org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:200)
	at org.jasig.cas.client.validation.AbstractTicketValidationFilter.doFilter(AbstractTicketValidationFilter.java:206)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
	at org.jasig.cas.client.authentication.AuthenticationFilter.doFilter(AuthenticationFilter.java:161)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
	at org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:100)
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:240)
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:207)
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:212)
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:94)
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:504)
	at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:141)
	at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:79)
	at org.apache.catalina.valves.AbstractAccessLogValve.invoke(AbstractAccessLogValve.java:620)
	at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:88)
	at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:502)
	at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1132)
	at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:684)
	at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.doRun(NioEndpoint.java:1539)
	at org.apache.tomcat.util.net.NioEndpoint$SocketProcessor.run(NioEndpoint.java:1495)
	at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1142)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:617)
	at org.apache.tomcat.util.threads.TaskThread$WrappingRunnable.run(TaskThread.java:61)
	at java.lang.Thread.run(Thread.java:748)
Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

這是因為沒有將你的證書匯入至jdk的信任中,參考 https://blog.csdn.net/yjaspire/article/details/82858084

在匯入證書的時候可能會出現如下錯誤

keytool 錯誤: java.io.FileNotFoundException:  C:\Java\jdk1.8.0_40\jre\lib\security\cacerts (拒絕訪問。)

這個可能是因為只有讀的許可權,可以設定資料夾許可權,或者放到D盤,匯入之後在覆蓋至jdk中.

此時,cas伺服器和兩個客戶端的地址如下

cas伺服器   https://localhost/cas/login

客戶端1號   https:localhost:446/casClient01

客戶端2號   https://localhost:444/casClient02

 

 

此時發現點選客戶端退出之後,是下面的提示

感覺不夠友好,需要實現在點選退出之後重新跳轉到登陸介面,如下配置

cas.properties檔案中

cas.logout.followServiceRedirects=true

上面的配置也只在4.2版本以上有效,4.2版本之後很多引數配置都可以在cas.properties中完成

同時修改index.jsp中退出登陸連結如下

 <a href="http://localhost/cas/logout?service=https://www.baidu.com/">退出登入</a>

 

  程式碼demo下載地址https://download.csdn.net/download/yjaspire/10691665

 下載之後請先閱讀注意說明, 

相關推薦

登陸cas實現2tomcat支援https訪問

keystool  參考 https://blog.csdn.net/yjaspire/article/details/82858084 cas伺服器 (1)生成keystore檔案 keytool -genkey -keystore "D:\keyst

登陸cas實現3cas伺服器配置資料來源

  之前的時候登陸使用者和密碼都是寫死在cas.properties檔案中,可實際上是需要從資料庫查詢,如下  1.新增jar        4.2.7版本我們需要新增的jar只有這兩 cas-server-suppo

登陸2tomcat支援https訪問

(1)生成keystore檔案 keytool -genkey -keystore "D:\keystore\localhost.keystore" -alias testc

登陸CAS實現1搭建cas伺服器和子系統並去除https

什麼是CAS CAS是Central Authentication Service的縮寫,中央認證服務,一種獨立開放指令協議。CAS 是 Yale 大學發起的一個開源專案,旨在為 Web 應用系統提供一種可靠的單點登入方法,CAS 在 2004 年 12 月正式成為 JA

登入cas綜述cas4.2.7服務端+cas客戶端+示例程式+環境搭建說明-陳杰

3其他說明 1環境搭建以及把示例程式跑起來        一切跑不起來的程式和走不通的教程都是耍流氓,二話不說,先按照我的步驟把程式跑起來在說吧。 1.1安裝JDK1.8       安裝jdk1.8

cas登陸系統-建立登陸系統的應用

dep authent loginurl get nth spring password list c項目 上一篇如果已經操作成功,說明casServer已經實現了,下面就是搭建casClient與casServer聯合調試。代碼已經上傳到github上。你可以下載看看,如

Kerberos+LDAP+NFSv4 實現登錄(續2)--一鍵安裝

ldapKerberos+LDAP+NFSv4 實現單點登錄(續2)--一鍵安裝 ( 附:LDAP簡單認證登錄 login4ldap-ver0.0.6.zip 源代碼 下載地址 http://u.163.com/NeMVmlIT 提取碼: ObEubL7Y ) 上篇Kerberos+LDAP+NFSv4 實

JEPLUS平臺登陸實現方式——JEPLUS軟件快速開發平臺

Edito proc eight tex 閱讀 note 圖片 term 功能 JEPLUS平臺單點登陸實現方式單點登陸是一個比較實用比較常用的功能,一些客戶也遇到過這些問題,今天這篇筆記就講解一下JEPLUS平臺如何集成單點登陸,如何在JE

cas 登陸實戰-sso-config篇(五)

  本篇我們講解cas單點登陸在與shiro整合,在與redis整合遇到的問題 先看完整程式碼吧 package com.madnet.config; import com.google.common.base.CaseFormat; import com.madnet

cas 登陸實戰-sso-config篇(四)

本篇章繼續講解寫cas時遇到的坑------證書生成。 在window下的證書生成,在linxu下的cas證書生成,證書用域名,證書用ip 糾正一點,網上說的cas證書生成只能用域名是錯誤的。也是可以用ip的,親測有效。 1.在windows下的證書生成(域名) 注意:CN=域名,我

cas 登陸實戰-sso-config篇(三)

本篇介紹一下遇到的一些問題: 一. 在cas伺服器端寫java程式碼,寫controller,設計頁面。 1.因為用的springboot,所以,你需要注意一下你的目錄結構。  2.controller類需要繼承AbstractController這個類。 3.

cas 登陸實戰-sso-config篇(二)

回顧:上章我們簡單介紹了服務端的目錄結構。現在來介紹目錄結構的第一部分 sso-config 一.看一下目錄結構      1.這裡面先重點關注兩個檔案  cas-management-dev.properties和sso-dev.properti

cas 登陸實戰-整體目錄結構(一)

我儘量把該教程寫的貼合實戰,減少理論知識,以快速開發為主 一. 教程結構       該教程分為兩部分,第一部分為cas 服務端 。第二部分為client 客戶端。       簡單解釋一下:  你在做cas

CAS-開源登陸系統-實踐

一、CAS入門 1、什麼是單點登陸?     單點登入(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。     我們目前的系統存在諸多子系統,而這些子系統是分別部署在不同的

CAS登陸

1、主要是兩個應用server和client 2、server一般單獨部署。client跟應用一起,通過filter的方式監控,保護受保護的資源 3、流程: 客戶端先發送請求受保護的資源(需要登陸才能獲取到的東西)——發現沒有登陸(HTTP請求中沒有Service Ticket,一般登陸

《SpringSecurityOauth2原始碼分析》1.SpringSecurityOauth2原始碼分析登陸SSO

OAuth2ClientContextFilter 處理UserRedirectRequiredException異常,做瀏覽器跳轉。當用戶跳轉到本地login時,如果發現UserRedirectRequiredException異常,跳轉認證中心 oauth/author

CAS實現SSO登入-CAS Server搭建

        最近公司連續接了三四個單點登入整合的專案,由我們公司提供CAS Server端的,也有需要我們把Client與其他公司提供的Server端對接的,我負責把我們公司的一個Client與另外一個公司提供的Server端對接,由於我們需要.Net2.0

登陸的簡單實現

在門戶專案中,經常會遇到如何實現單點登入的問題,下面就本人的經驗做個總結。歡迎大家進行補充討論。 單點登入的具體實現有很多種選擇,包括: 採用專門的SSO商業軟體: 主要有:Netgrity的Siteminder,已經被CA收購。Novell 公司的iChain。RSA公

帶你逐步深入瞭解SSM框架——淘淘商城專案登入系統實現

1.  課程計劃 1、  實現單點登入系統 2、  實現使用者的登入功能 3、  實現使用者的註冊功能 2.  單點登入系統分析 2.1. 什麼是SSO SSO英文全稱Single Sign On

CAS登陸更改認證方式和持久化ticket

基於以上,有一些問題處理. CAS3.5.2.1 修改認證方式 deployerConfigContext.xml <?xml version="1.0" encoding="UTF-8"?> <!--     Licensed to Jasig und