2. 程式人生 > >cas實現單點登入-應用場景和完整配置

cas實現單點登入-應用場景和完整配置

阿新 發佈:2018-12-31

Cas 簡介

1、什麼是CAS
CAS是一個單點登入(SSO)的框架。單點登入是目前比較流行的服務於企業業務整合的解決方案之一,SSO使得在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。
2、CAS的主要結構
CAS包括兩部分:CAS Server和CAS Client。
CAS Server負責完成對使用者的認證工作,需要獨立部署,CAS Server會處理使用者名稱/密碼等憑證(Credentials)。
CAS Client負責處理對客戶端受保護資源的訪問請求,需要對請求方進行身份認證時,重定向到CAS Server進行認證。CAS Client與受保護的客戶端應用部署在一起,以Filter方式保護受保護的資源。

應用場景說明

最近在開發過程中,多個系統共用一個認證資料庫,這就涉及到單點登入的問題。有三個系統A,B,C,登入時用的是同一套資料庫,三個系統間可以互相跳轉。目標是:三個系統中其中一個登入了,其他兩個就無需登入驗證。

cas實現單點登入完整配置

2、cas 服務端配置
cas服務端主要在實際應用中的配置有兩個:一是配置驗證資料庫,二是根據需要修改cas server登入預設頁面。

具體步驟如下:
1)、將Server端的war包放入Tomcat的webapps下,取名cas.war
2)、cas預設的驗證是使用者名稱和密碼相同即可,配置驗證的資料庫連線
A、開啟cas/WEB-INF/deployerConfigContext.xml
註釋掉預設驗證機制:

<!--<bean
    class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />-->

在下面新增新的驗證機制:

<bean id="dbAuthHandler" class = "org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
    <property name = "dataSource" ref="casDataSource"
 
/>
    <property name = "sql" value="select password from user where name = ?"/>
</bean>

B、在beans下新增新的資料來源casDataSource:

<bean id="casDataSource" class="org.apache.commons.dbcp.BasicDataSource"
        destroy-method="close">
        <property name="driverClassName" value="${jdbcDriverClassName}" />
        <property name="url" value="${jdbcUrl}" />
        <property name="username" value="${jdbcUsername}" />
        <property name="password" value="${jdbcPassword}" />
        <property name="maxActive" value="${jdbcMaxActive}" />
        <property name="maxIdle" value="${jdbcMaxIdle}" />
        <property name="maxWait" value="${jdbcMaxWait}" />
        <property name="validationQuery" value="${jdbcValidationQuery}" />
    <property name="validationQueryTimeout" value="${jdbcValidationTimeOut}" /> 
        <property name="defaultAutoCommit" value="true" />
        <property name="testOnBorrow" value="true" />
</bean>

3)、在cas/WEB-INF/下新建jdbc.properties檔案,內容如下:

# JDBC Configuration
jdbcDriverClassName=com.mysql.jdbc.Driver
jdbcUrl=jdbc:mysql://10.172.110.226:3306/testdb?useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertToNull
jdbcUsername=xhhtest
jdbcPassword=123456
# DBCP Pool Settings
jdbcInitialSize=5
jdbcMaxActive=10
jdbcMaxIdle=5
jdbcMaxWait=30000
jdbcValidationQuery=select 1 
jdbcValidationTimeOut=10

4)、修改cas/WEB-INF/spring-configuration/propertyFileConfigure.xml檔案

註釋:<!--  <bean id="propertyPlaceholderConfigurer" class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"     p:location="/WEB-INF/cas.properties" />-->
增加:
<bean id="propertyPlaceholderConfigurer" class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">    
        <property name="locations">
          <list>
            <value>/WEB-INF/cas.properties</value>
            <value>/WEB-INF/jdbc.properties</value>
          </list>
        </property>
</bean>

5)、修改登入頁面
A、將提供的login資料夾複製到cas/下,login.jsp複製到cas/WEB-INF/view/jsp/default/ui
B、修改cas/WEB-INF/classes/default_views.properties

### Login view (/login) casLoginView.url=/WEB-INF/view/jsp/default/ui/casLoginView.jsp 改為:casLoginView.url=/WEB-INF/view/jsp/default/ui/login.jsp

6)、配置CAS伺服器儲存cookie時間
修改
cas/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml檔案:

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
        p:cookieSecure="false"
        p:cookieMaxAge="1800"
        p:cookieName="CASTGC"
        p:cookiePath="/cas" />

7)、登出功能重定向配置
修改cas/WEB-INF/cas-servlet.xml檔案中的:

<bean id="logoutController" class="org.jasig.cas.web.LogoutController"
    p:centralAuthenticationService-ref="centralAuthenticationService"
p:logoutView="casLogoutView"
    p:warnCookieGenerator-ref="warnCookieGenerator"
    p:followServiceRedirects="true" (增加此屬性)
    p:ticketGrantingTicketCookieGenerator-ref="ticketGrantingTicketCookieGenerator"

至此,cas server端配置完成,部署到容器tomcat中,即可訪問登入。

3、cas 客戶端配置
cas客戶段配置即實際應用程式,如系統A的配置。此配置主要涉及到的:jar包,過濾器以及登出功能。

具體步驟如下:
1)、修改pom檔案,加入需要的jar包依賴

<dependency>
            <groupId>org.jasig.cas.client</groupId>
            <artifactId>cas-client-core</artifactId>
            <version>3.2.1</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.1.1</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
<scope>runtime</scope>
            <version>3.0.1</version>
        </dependency>

2)、修改應用程式的web.xml檔案,進行過濾器配置
在應用程式的web.xml檔案中加入如下配置:

<filter>
     <filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter
</filter-class>
     <init-param>
       <param-name>casServerLoginUrl</param-name>
        <!-- cas server訪問路徑-->
<param-value>http://10.172.110.226:28080/cas/login</param-value>
     </init-param>
     <init-param>          
       <param-name>serverName</param-name>
        <!--應用程式訪問IP-->
       <param-value>http://10.172.110.225:8080/</param-value>
     </init-param>
   </filter>                  
   <filter-mapping>
     <filter-name>CASFilter</filter-name>
     <url-pattern>/*</url-pattern>
  </filter-mapping>

  <filter>
    <filter-name>CASValidationFilter</filter-name>   <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
  <!--cas server訪問地址-->
      <param-name>casServerUrlPrefix</param-name>
      <param-value> http://10.172.110.226:28080/cas/</param-value>
    </init-param>                        
<init-param>            
  <!—應用程式訪問IP-->
      <param-name>serverName</param-name>
      <param-value>http://10.172.110.225:8080/ </param-value>
    </init-param>                  
  </filter>                  
  <filter-mapping>
    <filter-name>CASValidationFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3)編寫java類AuthenticationFilter,獲取登入使用者資訊

public class AuthenticationFilter implements Filter {

  public void destroy() {

  }

  public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
      throws IOException, ServletException {
    HttpServletRequest httpRequest = (HttpServletRequest) request;
    Object object = httpRequest.getSession().getAttribute("_const_cas_assertion_");
    if(object != null){
      Assertion assertion = (Assertion) object;
      String loginName = assertion.getPrincipal().getName();
      System.out.println("登入的使用者名稱:"+loginName);
      //可以根據使用者名稱操作相關邏輯,獲取User物件等
      //httpRequest.getSession().setAttribute("userName", loginName);
    }
    filterChain.doFilter(request, response);
  }

  public void init(FilterConfig arg0) throws ServletException {

  }
}

在web.xml中加入此過濾器:

   <filter>  
       <filter-name>AuthenticationFilter</filter-name> <filter-class>com.xhh.cas.filter.AuthenticationFilter
</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>AuthenticationFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
</filter-mapping>

4)、配置登出功能
A、在應用程式的web.xml檔案中加入如下配置:

<!--登出logout監聽器-->
<listener>
     <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!--登出logout 過濾器配置,注意此過濾器放於上述配置的filter之前!!-->
<filter>
     <filter-name>CAS Single Sign Out Filter</filter-name>
     <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CAS Single Sign Out Filter</filter-name>
     <url-pattern>/*</url-pattern>
</filter-mapping>

B、配置登出url, 如下:

<a href= "http://10.133.47.226:28080/bdocsso/logout?service=http://10.133.47.224:28080/bc-bdoc-sso">logout (退出)</a>
說明:http://10.172.110.226:28080/  為服務端地址
     http://10.172.110.225:28080/applicationA  為客戶端應   用程式訪問地址
     service="登出後跳轉的地址"

相關推薦

cas實現登入-應用場景完整配置

Cas 簡介 1、什麼是CAS CAS是一個單點登入(SSO)的框架。單點登入是目前比較流行的服務於企業業務整合的解決方案之一,SSO使得在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。 2、CAS的主要結構 CAS包括兩部分:

CAS實現登入(SSO)

什麼是單點登入 單點登入(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。 我們目前的系統存在諸多子系統,而這些子系統是分別部署在不

CAS實現登入SSO執行原理探究(終於明白了)

一、不落俗套的開始 1、背景介紹 單點登入:Single Sign On,簡稱SSO,SSO使得在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。 CAS框架:CAS(Central Authentication Service)是實現S

CAS實現登入(sso)搭建流程 伺服器端搭建

一、簡介 1、cas是有耶魯大學研發的單點登入伺服器 2、所用環境 ·        Linux系統 ·        To

CAS 實現登入oos(2)

  前面已經介紹了CAS伺服器的搭建,詳情見:搭建CAS單點登入伺服器。然而前面只是簡單地介紹了伺服器的搭建,其驗證方式是原始的配置檔案的方式,這顯然不能滿足日常的需求。下面介紹下通過mysql資料庫認證的方式。   一、CAS認證之mysql資料庫認證   1、在mysql中新建一個cas資料庫並建立us

Spring Security 4.0 CAS實現登入

1、各framework版本資訊       JDK 8       Tomcat 7       SpringMVC-4.2.0.RELEASE       Spring Security 4.2.0.RELEASE       CAS-Client 3.3.3       CAS-Serv

基於CAS實現登入(SSO):CAS+LDAP實現登入認證

[一]、概述 CAS是N個系統的中心認證入口,而貫穿多個系統的使用者資訊是共用的,應該被單獨維護,而這些資訊可能屬於不用的系統,不用的組織,不用的國家,從而形成了樹形結構,而使用關係型資料庫維護樹形結構資訊是它的弱點,這就是本文CAS和LDAP整合的初衷。 本來主要

Shiro & CAS 實現登入

概覽 單點登入主要用於多系統整合,即在多個系統中,使用者只需要到一箇中央伺服器登入一次即可訪問這些系統中的任何一個,無須多次登入。 部署伺服器 Tomcat預設沒有開啟HTTPS協議,所以這裡直接用了HTTP協議訪問。為了能使客戶端在HTTP協議下單點登入成

CAS實現登入的時序圖

CAS單點登入時序圖: PS:該圖為自己根據CAS驗證過程及真例項子總結出來的時序圖,其中步驟8和步驟9未證實,如果有不對的地方歡迎指正。 猜想: 一直用HttpWatch觀察後臺html請求狀態,所以步驟8和9只能看到一次從cas server的重定向,始終找不到步驟8

CAS實現登入(二):自定義的使用者驗證登入

上一篇演示單點登入服務端認證機制採用的是cas server預設的使用者名稱和密碼(admin/admin)。今天介紹正常專案中如何通過驗證DB中的使用者資料,來驗證使用者的密碼的合法性 自定義驗證登入有兩種方式: 採用cas-server預設的資料庫查詢

spring security整合cas實現登入

spring security整合cas 0.配置本地ssl連線 操作記錄如下: =====================1.建立證書檔案thekeystore ,並匯出為thekeystore.crt cd C:\Users\23570\keystore C:\Users\23570\keystore&

spring boot 1.5.4 整合shiro+cas實現登入許可權控制

1.安裝cas-server-3.5.2 官網:https://github.com/apereo/cas/releases/tag/v3.5.2 注意: 輸入 <tomcat_key> 的金鑰口令 (如果和金鑰庫口令相同, 按回車) ,這裡直接回車,也採用keystore密碼changei

基於CAS登入SSO[5]: 基於Springboot實現CAS客戶端的前後端分離

基於CAS的單點登入SSO[5]: 基於Springboot實現CAS客戶端的前後端分離 作者:家輝,日期:2017-08-24 CSDN部落格: http://blog.csdn.net/gobitan 摘要:現在大部分系統的開發都已經

據說是springboot下實現cas登入(但是我總感覺是MVC)----基於前後臺分離的

一、前言 前後端分離開發是目前軟體開發的主流,大大提高了開發效率  但也帶來了很多不方便之處。 1、優點:  ① 傳統全棧開發的 MVC 模式將不適合,後臺採取 MVP 面向介面程式設計,耦合度大大降低 2、缺點:  ① 跨域問題不勝其擾 3、原則:&n

CAS登入oauth2的最大區別

oauth2則是保障服務端的使用者資源的安全 CAS客戶端要獲取的最終資訊是,這個使用者到底有沒有許可權訪問我(CAS客戶端)的資源。 oauth2獲取的最終資訊是,我(oauth2服務提供方)的使用者的資源到底能不能讓你(oauth2的客戶端)訪問 CAS的單

cas+tomcat+shiro實現登入-4-Apache Shiro 整合Cas作為cas client端實現

目錄 4.Apache Shiro 整合Cas作為cas client端實現 Apache Shiro 整合Cas作為cas client端實現 第一步、新增maven依賴      <!-- shiro依賴包 -->

cas shiro spring實現登入

這裡貼出傳送門,來自幕課網大神。講了cas配置和cas的基本原理。 CAS deployerConfigContext.xml配置檔案 預設通過配置檔案管理授權登入賬戶 <bean id="primaryAuthentication

pac4j探索(二): buji-pac4j+Cas+Shiro+SpringMvc實現登入

在pac4j探索的上一篇文章大致講述了一下buji-pac4j+CAS的認證流程。這裡記錄一下本人實現的最簡單的單點登入,僅作為筆記、學習交流之用,戳這裡獲取本文原始碼。 一、專案框架 1、 buji-pac4j(v.3.0.0) 2、

SSO之CAS+LDAP實現登入認證

目錄: 概述 詳細步驟 LDAP安裝配置 CAS基礎安裝配置 CAS整合LDAP的配置 [一]、概述 本來主要詳細是介紹CAS和LDAP整合實現單點登入的步驟。 [二]、詳細步驟 安裝配置,新增部分測試資料如下

cas 在tomcat中實現登入

 一.開發準備: 環境:OS:windows xp IDE:myeclipse 6.0 web伺服器:tomcat 6.0 JDK: jdk1.6.0_05 資料庫:mysql 6.0準備:cas-client-java-2.1.1.zip  [建議使用迅雷下載] cas-