2. 程式人生 > >cas單點登入環境搭建

cas單點登入環境搭建

阿新 發佈:2019-01-10

公司最近想做一個類似單點登入功能的專案,考慮用cas還是用memcache達到單點登入功能。自己以前搭過cas+shiro的環境,記憶已有些模糊。重新搭一下cas的環境,遇到了一些問題,寫下來,希望能幫到某些人,也留著以後忘記的時候,拿來看看。以下是一些步驟,網上也有很多類似的文章,都大同小異:

一  環境準備

在本機安裝jdk(安裝方法網上很多,如:http://www.blogjava.net/jackyfoo/archive/2007/01/20/95034.html),搭建tomcat(本人6.0以上)環境。從cas官網下載cas服務端(下載地址:http://downloads.jasig.org/cas/cas-server-3.5.2-release.zip)

二 設定證書

    在cas服務端的機器上,通過jdk自帶的keytool生成證書,如下:

  keytool -genkey -alias caskey -keyalg RSA -keystore d:\keys\caskey.keystore (其中caskey為別名,把證書caskey.keystore儲存到d:\keys目錄下)

  

(注意,圖的檔案命名跟上面給出的檔名字不一樣)

  匯出證書

  keytool -export -trustcacerts -file d:\keys\caskey.crt -alias caskey-keystore d:\keys\caskey

.keystore (匯出證書caskey.crtd:\keys\目錄下


  (注意,圖的檔案命名跟上面給出的檔名字不一樣)

匯入證書到cas客戶端(本人服務端和客戶端都在一臺機器上,首先命令視窗要到jre的指定目錄下,本機為:C:\Program Files\Java\jdk1.6.0_20\jre\lib\security),如:

   keytool -import -trustcacerts -keystore cacerts -file d:\keys\caskey.crt -alias caskey-storepass changeit (其中changeit這個密碼為固定,不能改

)


(注意,圖的檔案命名跟上面給出的檔名字不一樣)

三、開啟服務端Tomcat的SSL連線服務(注意:確保Tomcat所用的JDK和之前所匯入證書的JDK是相同的,有的eclipse中的tomcat是用的eclipse自帶的jdk的,這個要區分好的,因為本人剛開始跑應用的時候用的是eclipse的jetty外掛,用的jdk不是本機的jdk,當回撥的時候丟擲java.security.cert.CertificateException: No name matching www.casserver.com found異常,www.casserver.com為本人cas服務端的域名

修改Tomcat的conf下面server.xml檔案,去掉以下程式碼的註釋,然後新增你自己的keystore

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
keystoreFile="d:\keys\caskey.keystore" keystorePass="123456"/> (caskey.keystore為生成的證書,123456為證書密碼)

四、部署cas服務端

        解壓cas-server-3.5.2-release.zip,複製modules下面的cas-server-webapp-3.5.2.war到tomcat的webapp下面,重新命名為cas.war,啟動tomcat後,用瀏覽器訪問https://你的域名:8443/cas就可以訪問。預設的情況下,輸入相同的使用者名稱和密碼就可以成功登入。這種需要通常都不適合使用者需求,可以修改cas專案的deployerConfigContext.xml配置檔案。在<sec:user-service id="userDetailsService">這個節點後面新增casDataSource:


註釋掉SimpleTestUsernamePasswordAuthenticationHandler,新增QueryDatabaseAuthenticationHandler:


同時,還要把需要的jar包丟進tomcat的cas專案的lib目錄下,否則,會丟擲某些類找不到的異常。這些包分別是:mysql-connector-java-5.1.15.jar(這是mysql的驅動包),commons-dbcp-1.4.jar,commons-pool-1.6.jar(這兩個是配置資料來源依賴的包),cas-server-support-jdbc-3.5.2.jar(QueryDatabaseAuthenticationHandler就在這個包裡面,預設是沒有的,可以到cas-server-3.5.2-release.zip解壓後modules目錄下拷貝。

五、配置客戶端(即應用系統)

本人的專案用的是maven管理,只要把依賴加進去就可以,依賴如下:

<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.2.1</version>
</dependency>

在應用系統有web.xml做以下配置:

<!-- 該過濾器用於實現單點登出功能,可選配置。 -->  
    <filter>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Single Sign Out Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
  
    <!-- 該過濾器負責使用者的認證工作,必須啟用它 -->  
    <filter>  
        <filter-name>CASFilter</filter-name>  
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
        <init-param>  
            <param-name>casServerLoginUrl</param-name>  
            <param-value>https://www.casserver.com:8443/cas/login</param-value>  <!--  這裡是我的cas服務端的登入訪問地址-->
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>http://www.casclient1.com:8085</param-value>  <!--這裡是我的應用地址,即回撥地址-->
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>CASFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
  
    <!-- 該過濾器負責對Ticket的校驗工作,必須啟用它 -->  
    <filter>  
        <filter-name>CAS Validation Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
        <init-param>  
            <param-name>casServerUrlPrefix</param-name>  
            <param-value>https://www.casserver.com:8443/cas</param-value>  <!--  這裡是我的cas服務端的訪問地址-->
        </init-param>  
        <init-param>  
            <param-name>serverName</param-name>  
            <param-value>http://www.casclient1.com:8085</param-value>  <!--這裡是我的應用地址,即回撥地址-->
        </init-param>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Validation Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
  
    <!-- 該過濾器負責實現HttpServletRequest請求的包裹, 比如允許開發者通過HttpServletRequest的getRemoteUser()方法獲得SSO登入使用者的登入名,可選配置。 -->  
    <filter>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <filter-class>  
            org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  
  
    <!-- 該過濾器使得開發者可以通過org.jasig.cas.client.util.AssertionHolder來獲取使用者的登入名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->  
    <filter>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping>  

以上的配置網路上很容易找到。同時,可以修改系統的hosts檔案(C:\WINDOWS\system32\drivers\etc\hosts),設定域名,我的hosts檔案如下:


到這裡,cas單點登入基本部署完成了。使用者可以訪問,www.casclient1.com,當未登入的時候,會跳轉到www.casserver.com(cas服務端)進行登入認證,認證通過後,回撥到www.casclient1.com上。

本人理解的單點登入流程大概如下:

首先使用者訪問應用,應用配置了cas的filter,filter攔截,根據web.xml的配置地址,然後定向到cas服務端上,cas服務端檢查使用者的cookie,發現使用者沒曾登入,就顯示登入頁面讓使用者登入認證。認證通過後,cas往使用者的客戶端寫加密的cookie,然後回撥到使用者實際訪問的應用地址。如果發現使用者已經登入,就直接回調到使用者實際訪問的應用地址,而無需使用者再登入。無論使用者是否登入過,都要經過cas服務端,再進行回撥。

       以上cas的配置方式跟網上的大同小異,不過加入了本人遇到的一些問題,希望能幫遇到同樣問題的人更好理解。也因本人知識有限,如有不對,希望指正。

補充:

通常我們新增使用者的時候,密碼都是通過加密了的,這樣,對登入的輸入密碼也要加密,才能和資料庫的密碼進行匹配。看了一下QueryDatabaseAuthenticationHandler(在cas-server-support-jdbc.jar包下)的原碼,在對密碼的匹配時,呼叫了getPasswordEncoder()方法來對輸入密碼進行加密。原始碼如下:


顯然getPasswordEncoder()方法是在父類定義的,通過跟程式碼,可以看到在cas-server-core.jar包下的AbstractUsernamePasswordAuthenticationHandler類中定義,程式碼如下:


該類中預設使用了PlainTextPasswordEncoder類來進行加密,但PlainTextPasswordEncoder這個類的是對密碼沒有任何加密動作,直接返回密碼的,程式碼如下:


所有,只要自己寫一個Encoder,替換PlainTextPasswordEncoder,就能達到自己加密方法的效果。自己的Encoder程式碼如下:


其中,用的是commons-codec.jar包下的DigestUtils進行加密。當然,加密方法必須和儲存到資料庫的密碼加密方法一致。

然後,修改cas專案的deployerConfigContext.xml配置檔案。新增自己的Encoder:

<bean id="passwordEncode" class="com.cas.encode.passwordencode.MD5Encoder"/> 

把encoder注入到QueryDatabaseAuthenticationHandler中

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">  
<property name="dataSource" ref="casDataSource" />  
<property name="sql" value="select password from user where username = ?" /> 
<property name="passwordEncoder" ref="passwordEncode" /> 
</bean>

這樣,加密方式就起作用。

2013.7.31

相關推薦

cas登入環境搭建

公司最近想做一個類似單點登入功能的專案,考慮用cas還是用memcache達到單點登入功能。自己以前搭過cas+shiro的環境,記憶已有些模糊。重新搭一下cas的環境,遇到了一些問題,寫下來,希望能幫到某些人,也留著以後忘記的時候,拿來看看。以下是一些步驟,網上也有很多類

SSO之CAS登入詳細搭建教程

<!-- 用於單點退出,該過濾器用於實現單點登出功能,可選配置--> <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener

SSO CAS登入搭建詳細步驟及原始碼

1.因為是本地模擬sso環境,而sso的環境測試需要域名,所以需要虛擬幾個域名出來,步驟如下: 2.進入目錄C:\Windows\System32\drivers\etc 3.修改hosts檔案 127.0.0.1  jeesz.cn 127.0.0.1  sso1.

SSO CAS登入框架學習 搭建詳細步驟及原始碼

1.瞭解單點登入  SSO 主要特點是: SSO 應用之間使用 Web 協議(如 HTTPS) ,並且只有一個登入入口. SSO 的體系中有下面三種角色: 1) User(多個) 2) Web 應用(多個) 3) SSO 認證中心(一個)  2.SSO 實現包

CAS登入(客戶端、服務端)搭建

一、單點登入簡介 單點登入(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。 CAS 是一個開源的企業級單點登入系統,CAS 包含兩個部分:CAS Serve

CAS5.2x登入(一)——搭建cas伺服器

單點登入的介紹 單點登入(Single Sign On ,簡稱SSO)是目前比較流行的服務於企業業務整合的解決方案之一,SSO 使得在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。 CAS(Central Authentication

搭建CAS登入的Demo

現在很多系統並不是單一的,而是幾個系統可以共同運作,相輔相成,這時,如果讓使用者一個系統一個系統的登入再一個一個地登出,顯然體驗感是不好的。如此便有了單點登入,實現一次登入,可以訪問所有相關係統,訪問完之後只需要一次登出。 搜了比較多的資料,將單點登入的原理的很多,這裡可以放一篇瞭解一下原理

[精華][推薦]SSO CAS登錄搭建詳細步驟及源碼

springmvc mybatis dubbo java 1.修改server.xml文件,如下:註意: 這裏使用的是https的認證方式,需要將這個配置放開,並做如下修改: <Connector port="8443" protocol="org.apa

SSO CAS登錄搭建詳細步驟及源碼

進行 tar tor 配置 keystore 啟動 安裝目錄 img bcd 1.因為是本地模擬sso環境,而sso的環境測試需要域名,所以需要虛擬幾個域名出來,步驟如下: 2.進入目錄C:\Windows\System32\drivers\etc 3.修改hosts文件

CAS統一登入認證(16): openedx 通過oauth2.0接入cas登入

openedx 是流行的開源mooc(慕課)平臺,我這安裝的是edx-ginkgo.2-7版本,cas是5.3.2 這個接入頗費了一番周折,總是設定不成功,因為沒有可以直接參考的案例,只有edx的官方站點有些說明,但都是針對google,facebook,github等賬號的第三方oauth2.

CAS登入-介紹(一)

CAS單點登入-介紹(一) 由於之前工作需要都是對接現成的單點登陸服務,基於自己興趣目前正在研究CAS單點登陸原理和搭建以及不同的應用場景對接方式。特此來記錄學習的過程以及分享,希望能幫助大家。 1.CAS是什麼? CAS是Central Authenticat

cas 登入(一)

對接單點登入不是這個端退出不了,就是使用者賬號實現多模組切換,甚是煩惱   1、cas服務端:下載地址:http://downloads.jasig.org/cas/,cas的服務端和客戶端有許多版本,最新版本和老版本 有很大的區別,目前服務端最新版本為:cas-server-

spring boot + mybatis + shiro + cas 登入

該專案是在shiro(三)的基礎上進行修改的,建議首先將shiro的部分了解一下。 CAS的知識點: 單點登入:簡稱SSO,SSO使得在多個應用系統中,使用者只需要登入一次就可以訪問所有互相信任的應用系統 CAS框架:CAS是實現單點登入的框架。 結構:cas分為兩個部分,CAS S

CAS登入-簡介

介紹 CAS CAS是一個單點登入框架, 是 Yale 大學發起的一個開源專案,旨在為 Web 應用系統提供一種可靠的單點登入方法,CAS 在 2004 年 12 月正式成為 JA-SIG 的一個專案。程式碼目前在github上管理 SSO 單點登入,英文全稱:Single Sign On(SSO)

cas登入遇到 supplied credentials: [admin+password] 問題原因以及解決辦法

最近在寫shiro-cas單點登入demo的時候,真的是問題多多,百度了半天也沒有什麼有用的資訊,服務端部署了一遍又一遍,真的sui(抱怨over..哈哈) 我遇到的問題是服務端配置資料庫連線的時候出現的問題,先回顧一下流程 一、修改deployerConfigContext.xm

cas登入 (二) 客戶端與springboot整合

在springboot專案中實現cas單點登入統一認證,只需要在專案中配置 cas過濾器即可使用. 1. springboot專案pom.xml中 新增web支援依賴 、cas客戶端依賴包 <dependency> <groupId>org

Go語言專案整合CAS登入

網上有高手開源了一個網盤專案:藍眼雲盤,我一看還行,版權也很寬鬆,是MIT,就用到了專案裡面去。 有個問題就是我們專案採用了CAS作為單點登入,而這個藍眼雲盤有自己的一套登入機制。需要改造一下,將單點登入也整合到雲盤中來。 藍眼雲盤專案伺服器端是用GO語言開發的,前端則用了VUE

CAS登入之HelloWorld

本章將介紹一下CAS如何部署一個CAS應用 系統要求: 開始 一 、使用模版構建 cas在github上提供了官網的模版,可以進行快速構建以及版本的切換升級。 github上克隆映象 預設情況下

CAS登入原理簡單介紹

1. SSO簡介 1.1 單點登入定義 單點登入(Single sign on),英文名稱縮寫SSO,SSO的意思就是在多系統的環境中,登入單方系統,就可以在不用再次登入的情況下訪問相關受信任的系統。也就是說只要登入一次單體系統就可以。計劃在專案中加入單點登入,

CAS登入之生成證書

建立證書 證書是單點登入認證系統中很重要的一把鑰匙,客戶端於伺服器的互動安全靠的就是證書;由於是個人學習測試所以就直接用JDK自帶的keytool工具生成證書;如果以後真正在產品環境中使用肯定要去證書提供商去購買,證書認證一般都是由VeriSign認證,中文官方網站:http://www.ver