springboot + shiro + cas 实现 登录 + 授权 + sso单点登录 (一)
springboot + shiro + cas 实现 登录 + 授权 + sso单点登录 (二)
本篇文章将使用cas-server和cas-client来测试SSO单点登录
准备:
tomcat 三个,一个cas-server,两个cas-client
cas-server-4.2.4
cas-client-3.2.1
commons-logging-1.1.jar
资源正在审核中,稍后贴出来
一、host文件
host文件配置DNS映射
127.0.0.1 sso.maple.com
127.0.0.1 client1.sso.maple.com
127.0.0.1 client2.sso.maple.com
二、Tomcat配置SSL
1、生成证书
keytool -genkey -alias ssodemo -keyalg RSA -keysize 1024 -keypass 123456 -validity 365 -keystore D:\beijing\develop\apache-tomcat-9.0.34\sso\ssodemo.keystore -storepass 123456
您的名字与姓氏是什么?我写的这个,和你上面配置的host一样即可,sso.maple.com
其他的都可以直接回撤,最后输入个 是 即可。
2、导出证书
keytool -export -alias ssodemo -keystore D:\beijing\develop\apache-tomcat-9.0.34\sso\ssodemo.keystore -file D:\beijing\develop\apache-tomcat-9.0.34\sso\ssodemo.crt -storepass 123456
3、把证书导入到证书信任库
keytool -import -keystore %JAVA_HOME%\jre\lib\security\cacerts -file D:\beijing\develop\apache-tomcat-9.0.34\sso\ssodemo.crt -alias ssodemo
这个时候会让你输入密码,记住密码不是123456,而是 changeit。输入密码后,提示导入成功。
如果你想查看证书信任库都有哪些证书,输入命令为:
keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts >t.txt
当然也是输入 changeit 密码,查询一下有没有我们刚刚导入的ssodemo(我有时候可以搜到,有时候搜不到,搜不到的时候我重新导入,又提示 ssodemo 别名已存在。。。不过不影响功能)
如果你想删除某个证书的话,输入命令为:
keytool -delete -trustcacerts -alias ssodemo -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
4、修改tomcat的server.xml文件
直接新增,里面的证书路径和密码根据你自己的修改
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
keystoreFile="D:/beijing/develop/apache-tomcat-9.0.34/sso/ssodemo.keystore" keystorePass="123456"
clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8"/>
5、到bin目录启动startup.bat,然后浏览器里输入https://sso.maple.com:8443/
三、部署CAS-Server到tomcat里
1、准备好之前下载完成的cas-server-webapp-4.2.4.war与cas-client-core-3.2.1.jar
2、部署CAS-Server,把下载好的cas-server-webapp-4.2.4.war重命名为 cas.war,并复制到 tomcat里的webapps里,重启tomcat,访问 https://sso.maple.com:8443/cas/login,可以看到这个页面
默认用户名为:casuser,默认密码为:Mellon,输入之后显示登录成功
四、部署CAS-Client到tomcat里
1、我把tomcat的安装包又copy了两份,分别命名为 apache-tomcat-9.0.34-cas-client1,apache-tomcat-9.0.34-cas-client2
2、如果要一台电脑运行三个tomcat的话,需要修改一些端口和路径,具体地方有:
(1)、server.xml里的
(2)、startup.bat、shutdown.bat、catalina.bat里的
3、把apache-tomcat-9.0.34-cas-client1的server.xml里的
<Connector port="8080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443" />
修改为
<Connector port="18080" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="18443" />
再把server.xml里的这个打开
<Connector protocol="AJP/1.3"
address="::1"
port="8009"
redirectPort="8443" />
修改为
<Connector port="18009" protocol="AJP/1.3" secretRequired="false" redirectPort="18443" />
修改完成之后,启动tomcat,访问 http://client1.sso.maple.com:18080/examples/servlets/,可以看到
4、将 cas-client-core-3.2.1.jar 和 commons-logging-1.1.jar 复制到apache-tomcat-9.0.34-cas-client1里的D:\beijing\develop\apache-tomcat-9.0.34-cas-client1\webapps\examples\WEB-INF\lib下面,并在D:\beijing\develop\apache-tomcat-9.0.34-cas-client1\webapps\examples\WEB-INF\web.xml添加如下配置(这里需要修改相关地址)
<!-- ======================== 单点登录开始 ======================== -->
<!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>CAS Filter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>https://demo.micmiu.com:8443/cas/login</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://app1.micmiu.com:18080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>https://demo.micmiu.com:8443/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://app1.micmiu.com:18080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--
该过滤器负责实现HttpServletRequest请求的包裹,
比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
-->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!--
该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
比如AssertionHolder.getAssertion().getPrincipal().getName()。
-->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- ======================== 单点登录结束 ======================== -->
5、再重复上面的方式,在apache-tomcat-9.0.34-cas-client2里做同样的配置,只不过server.xml里的端口前缀我们改为2。
修改完成之后,启动tomcat,访问 http://client2.sso.maple.com:28080/examples/servlets/,可以看到
然后记得复制cas-client-core-3.2.1.jar 和 commons-logging-1.1.jar到lib下,以及修改web.xml。
五、测试SSO单点登录
1.基本的测试
预期流程: 打开client1 url —-> 跳转cas server 验证 —-> 显示client1的应用 —-> 打开client2 url —-> 显示client2 应用 —-> 注销cas server —-> 打开client1/client2 url —-> 重新跳转到cas server 验证.
2、先把三个tomcat都重新启动,确保都可以访问,cas-server先不用登录
3、输入http://client1.sso.maple.com:18080/examples/servlets/servlet/HelloWorldExample,由于没有登录所以跳到登录界面
4、这个时候我们输入用户名和密码,登录成功,出现以下界面
5、然后我们再访问client2,http://client2.sso.maple.com:28080/examples/servlets/servlet/HelloWorldExample,由于刚刚在client1里已经登录成功了,所以这里应该无需再登录,直接可以看到页面
6、接下来我们将cas注销掉(一定要在同一个浏览器里进行登出,因为清除的是当前浏览器里的信息)
7、再次访问上面两个地址
http://client1.sso.maple.com:18080/examples/servlets/servlet/HelloWorldExample
http://client2.sso.maple.com:28080/examples/servlets/servlet/HelloWorldExample
发现均需要重新登录