2. 程式人生 > >單點登陸CAS實現1搭建cas伺服器和子系統並去除https

單點登陸CAS實現1搭建cas伺服器和子系統並去除https

阿新 發佈:2018-12-02

什麼是CAS

CAS是Central Authentication Service的縮寫,中央認證服務,一種獨立開放指令協議。CAS 是 Yale 大學發起的一個開源專案,旨在為 Web 應用系統提供一種可靠的單點登入方法,CAS 在 2004 年 12 月正式成為 JA-SIG 的一個專案。

特點

1、開源的企業級單點登入解決方案。

2、CAS Server 為需要獨立部署的 Web 應用。

3、CAS Client 支援非常多的客戶端(這裡指單點登入系統中的各個 Web 應用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

原理和協議

從結構上看,CAS 包含兩個部分: CAS Server 和 CAS Client。CAS Server 需要獨立部署,主要負責對使用者的認證工作;CAS Client 負責處理對客戶端受保護資源的訪問請求,需要登入時,重定向到 CAS Server。圖1 是 CAS 最基本的協議過程:

cas 協議圖

CAS Client 與受保護的客戶端應用部署在一起,以 Filter 方式保護受保護的資源。對於訪問受保護資源的每個 Web 請求,CAS Client 會分析該請求的 Http 請求中是否包含 Service Ticket,如果沒有,則說明當前使用者尚未登入,於是將請求重定向到指定好的 CAS Server 登入地址,並傳遞 Service (也就是要訪問的目的資源地址),以便登入成功過後轉回該地址。使用者在第 3 步中輸入認證資訊,如果登入成功,CAS Server 隨機產生一個相當長度、唯一、不可偽造的 Service Ticket,並快取以待將來驗證,之後系統自動重定向到 Service 所在地址,併為客戶端瀏覽器設定一個 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新產生的 Ticket 過後,在第 5,6 步中與 CAS Server 進行身份核實,以確保 Service Ticket 的合法性。

在該協議中,所有與 CAS 的互動均採用 SSL 協議,確保,ST 和 TGC 的安全性。協議工作過程中會有 2 次重定向的過程,但是 CAS Client 與 CAS Server 之間進行 Ticket 驗證的過程對於使用者是透明的。

另外,CAS 協議中還提供了 Proxy (代理)模式,以適應更加高階、複雜的應用場景,具體介紹可以參考 CAS 官方網站上的相關文件。

SSO單點登入訪問流程主要有以下步驟:

    1. 訪問服務:SSO客戶端傳送請求訪問應用系統提供的服務資源。

    2. 定向認證:SSO客戶端會重定向使用者請求到SSO伺服器。

    3. 使用者認證:使用者身份認證。

    4. 發放票據:SSO伺服器會產生一個隨機的Service Ticket。

    5. 驗證票據:SSO伺服器驗證票據Service Ticket的合法性,驗證通過後,允許客戶端訪問服務。

    6. 傳輸使用者資訊:SSO伺服器驗證票據通過後,傳輸使用者認證結果資訊給客戶端。

版本 4.2.7

 gitHub下載地址

將下載好的專案直接匯入eclipise (報錯不用管,eclipise編譯問題)

開啟propertyFileConfigurer.xml檔案修改配置檔案如下

這個時候如果打包執行的話還是不行的,因為CAS預設使用的是HTTPS協議,這時可以暫時先去掉https

1.開啟cas.properties

tgc.secure和warn.cookie.secure這兩個屬性修改成false即可。

tgc.secure=false
warn.cookie.secure=false

2.修改src/main/resources/services中的  HTTPSandIMAPS-10000001.json

 

我們下載的是war包,本身是沒有這個檔案的,可以在target中找到這個json檔案複製到src/main/resources/services中

上面去除https的方式只適用於4.2版本以上

同時更改cas.properties   server.name=http://localhost:80

clean,install之後設定好埠為80,eclipise中執行

這裡有個固定的使用者名稱和密碼 casuser /Mellon

子系統客戶端的建立

1.建立maven專案casClient01

pom如下

 <dependencies>
        <!-- cas -->  
        <dependency>  
            <groupId>org.jasig.cas.client</groupId>  
            <artifactId>cas-client-core</artifactId>  
            <version>3.3.3</version>  
        </dependency>       
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>  
            <scope>provided</scope>
        </dependency>
    </dependencies>  
  <build>  
      <plugins>
          <plugin>  
              <groupId>org.apache.maven.plugins</groupId>  
              <artifactId>maven-compiler-plugin</artifactId>  
              <version>2.3.2</version>  
              <configuration>  
                  <source>1.7</source>  
                  <target>1.7</target>  
              </configuration>  
          </plugin>  
          <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <configuration>
                    <!-- 指定埠 -->
                    <port>80</port>
                    <!-- 請求路徑 -->
                    <path>/</path>
                </configuration>
          </plugin>
      </plugins>  
    </build>

2.修改web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns="http://java.sun.com/xml/ns/javaee"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    version="2.5">  
    <!-- 用於單點退出,該過濾器用於實現單點登出功能,可選配置 -->  
    <listener>  
     <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
    </listener>  
    <!-- 該過濾器用於實現單點登出功能,可選配置。 -->  
    <filter>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
       <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <!-- 該過濾器負責使用者的認證工作,必須啟用它 -->  
    <filter>  
        <filter-name>CASFilter</filter-name>       <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
        <init-param>  
            <param-name>casServerLoginUrl</param-name>  
            <param-value>http://localhost/cas/login</param-value>  
            <!--這裡的server是服務端的IP -->  
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>http://localhost</param-value>
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>CASFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <!-- 該過濾器負責對Ticket的校驗工作,必須啟用它 -->  
    <filter>  
        <filter-name>CAS Validation Filter</filter-name>  
        <filter-class>     org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
        <init-param>  
            <param-name>casServerUrlPrefix</param-name>  
            <param-value>http://localhost/cas</param-value>  
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>http://localhost</param-value>
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Validation Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <!-- 該過濾器負責實現HttpServletRequest請求的包裹, 比如允許開發者通過HttpServletRequest的getRemoteUser()方法獲得SSO登入使用者的登入名,可選配置。 -->  
    <filter>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
    <!-- 該過濾器使得開發者可以通過org.jasig.cas.client.util.AssertionHolder來獲取使用者的登入名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->  
    <filter>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>       <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
</web-app>

3.建立檔案index.jsp

<%@ page language="java" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>1號客戶端</title>
</head>
    <body>
我是1號客戶端
        <%=request.getRemoteUser()%>
    </body>
</html>

2.建立maven專案casClient02

pom和web.xml同casClient02,index.jsp做少許更改

<%@ page language="java" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>2號客戶端</title>
</head>
    <body>
        我是2號客戶端
        <%=request.getRemoteUser()%>
    </body>
</html>

各自打包,執行,地址分別如下

cas伺服器   localhost/cas

客戶端1號  localhost:8013/casClient01

客戶端2號   localhost:8016/casClient02

 

單點退出登入地址

http://localhost/cas/logout

 

  程式碼demo下載地址https://download.csdn.net/download/yjaspire/10691665

     這裡的demo是https的,可以參考本文去掉https,還要注意修改2個子系統客戶端的web.xml的https配置以及pom中的埠

     下載之後請先閱讀注意說明, 

 

相關推薦

登陸CAS實現1搭建cas伺服器子系統去除https

什麼是CAS CAS是Central Authentication Service的縮寫,中央認證服務,一種獨立開放指令協議。CAS 是 Yale 大學發起的一個開源專案,旨在為 Web 應用系統提供一種可靠的單點登入方法,CAS 在 2004 年 12 月正式成為 JA

CAS實現登入(sso)搭建流程 伺服器搭建

一、簡介 1、cas是有耶魯大學研發的單點登入伺服器 2、所用環境 ·        Linux系統 ·        To

登陸cas實現3之cas伺服器配置資料來源

  之前的時候登陸使用者和密碼都是寫死在cas.properties檔案中,可實際上是需要從資料庫查詢,如下  1.新增jar        4.2.7版本我們需要新增的jar只有這兩 cas-server-suppo

登陸cas實現2之tomcat支援https訪問

keystool  參考 https://blog.csdn.net/yjaspire/article/details/82858084 cas伺服器 (1)生成keystore檔案 keytool -genkey -keystore "D:\keyst

cas登陸系統-建立登陸系統的應用

dep authent loginurl get nth spring password list c項目 上一篇如果已經操作成功,說明casServer已經實現了,下面就是搭建casClient與casServer聯合調試。代碼已經上傳到github上。你可以下載看看,如

cas 登陸實戰-sso-config篇(五)

  本篇我們講解cas單點登陸在與shiro整合,在與redis整合遇到的問題 先看完整程式碼吧 package com.madnet.config; import com.google.common.base.CaseFormat; import com.madnet

cas 登陸實戰-sso-config篇(四)

本篇章繼續講解寫cas時遇到的坑------證書生成。 在window下的證書生成,在linxu下的cas證書生成,證書用域名,證書用ip 糾正一點,網上說的cas證書生成只能用域名是錯誤的。也是可以用ip的,親測有效。 1.在windows下的證書生成(域名) 注意:CN=域名,我

cas 登陸實戰-sso-config篇(三)

本篇介紹一下遇到的一些問題: 一. 在cas伺服器端寫java程式碼,寫controller,設計頁面。 1.因為用的springboot,所以,你需要注意一下你的目錄結構。  2.controller類需要繼承AbstractController這個類。 3.

cas 登陸實戰-sso-config篇(二)

回顧:上章我們簡單介紹了服務端的目錄結構。現在來介紹目錄結構的第一部分 sso-config 一.看一下目錄結構      1.這裡面先重點關注兩個檔案  cas-management-dev.properties和sso-dev.properti

cas 登陸實戰-整體目錄結構(一)

我儘量把該教程寫的貼合實戰,減少理論知識,以快速開發為主 一. 教程結構       該教程分為兩部分,第一部分為cas 服務端 。第二部分為client 客戶端。       簡單解釋一下:  你在做cas

CAS-開源登陸系統-實踐

一、CAS入門 1、什麼是單點登陸?     單點登入(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。     我們目前的系統存在諸多子系統,而這些子系統是分別部署在不同的

CAS登陸

1、主要是兩個應用server和client 2、server一般單獨部署。client跟應用一起,通過filter的方式監控,保護受保護的資源 3、流程: 客戶端先發送請求受保護的資源(需要登陸才能獲取到的東西)——發現沒有登陸(HTTP請求中沒有Service Ticket,一般登陸

cas+tomcat+shiro實現登入-4-Apache Shiro 整合Cas作為cas client端實現

目錄 4.Apache Shiro 整合Cas作為cas client端實現 Apache Shiro 整合Cas作為cas client端實現 第一步、新增maven依賴      <!-- shiro依賴包 -->

CAS Server 登入SSO 認證服務搭建部署

部署環境 1 下載CAS Server 4.0 :https://github.com/apereo/cas/releases/tag/v4.0.0     這裡選擇4.0是因為其有官方release版本的cas-server-webapp-4.0.0.war。

基於CAS實現登入(SSO):CAS+LDAP實現登入認證

[一]、概述 CAS是N個系統的中心認證入口,而貫穿多個系統的使用者資訊是共用的,應該被單獨維護,而這些資訊可能屬於不用的系統,不用的組織,不用的國家,從而形成了樹形結構,而使用關係型資料庫維護樹形結構資訊是它的弱點,這就是本文CAS和LDAP整合的初衷。 本來主要

CAS登陸更改認證方式持久化ticket

基於以上,有一些問題處理. CAS3.5.2.1 修改認證方式 deployerConfigContext.xml <?xml version="1.0" encoding="UTF-8"?> <!--     Licensed to Jasig und

輕松搭建CAS系列(1)-使用cas overlay搭建SSO SERVER服務端

連接 登錄 mage pla class TP build 基礎上 解壓 概要說明 cas的服務端搭建有兩種常用的方式: 1. 基於源碼的基礎上構建出來的 2. 使用WAR overlay的方式來安裝 官方推薦使用第二種,配置管理方便,以後升級也容易。本文就是使用

JEPLUS平臺登陸實現方式——JEPLUS軟件快速開發平臺

Edito proc eight tex 閱讀 note 圖片 term 功能 JEPLUS平臺單點登陸實現方式單點登陸是一個比較實用比較常用的功能,一些客戶也遇到過這些問題,今天這篇筆記就講解一下JEPLUS平臺如何集成單點登陸,如何在JE

《SpringSecurityOauth2原始碼分析》1.SpringSecurityOauth2原始碼分析之登陸SSO

OAuth2ClientContextFilter 處理UserRedirectRequiredException異常,做瀏覽器跳轉。當用戶跳轉到本地login時,如果發現UserRedirectRequiredException異常,跳轉認證中心 oauth/author

CAS登入(3):cas-4.0.0 客戶端配置

新建web工程 新增依賴jar包 cas-client-core-3.2.1.jar commons-logging-1.2.jar Tips: Maven專案直接新增Pom: <dependency> <grou