1. 简介
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的session是无法解决的,我们需要使用相关的单点登录技术来解决
2. CAS简介
CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS是实现单点登录解决方案的一个技术
3. CAS特点
1)开源的企业级单点登录解决方案。
2)CAS Server 为需要独立部署的 Web 应用。
3)CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
4. CAS协议流程
从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。
下图是 CAS 最基本的协议过程:
SSO单点登录访问流程主要有以下步骤:
1)访问服务:SSO客户端发送请求访问应用系统提供的服务资源。
2)定向认证:SSO客户端会重定向用户请求到SSO服务器。
3)用户认证:用户身份认证。
4)发放票据:SSO服务器会产生一个随机的Service Ticket。
5)验证票据:SSO服务器验证票据Service Ticket的合法性,验证通过后,允许客户端访问服务。
6) 传输用户信息:SSO服务器验证票据通过后,传输用户认证结果信息给客户端
5. CAS服务端部署
Cas服务端其实就是一个war包,所以它的部署也就相当简单了,直接将这个war包丢到tomcat的webapps目录下,启动tomcat就可以访问了,如图:
这里有个固定的用户名和密码 casuser /Mellon
这个用户名和密码就是cas,就是cas\WEB-INF/deployerConfigContext.xml文件中默认配置的,如图:
所以,如果我们希望使用其他的用户名和密码,也可以在这里进行配置自己的用户名和密码。
登录成功后会跳到登录成功的提示页面
cas.war下载链接:4jr8
6. CAS服务端配置
6.1 端口修改
CAS端口的修改需要修改两个地方:
1)修改tomcat的端口配置
2)修改 cas/WEB-INF/cas.properties中的server.name属性
6.2 去除https认证
CAS默认使用的是HTTPS协议,如果使用HTTPS协议需要SSL安全证书(需向特定的机构申请和购买) 。如果对安全要求不高或是在开发测试阶段,可使用HTTP协议。可以通过修改配置,让CAS使用HTTP协议。
操作步骤:
1)修改cas的WEB-INF/deployerConfigContext.xml
在该文件的HttpBasedServiceCredentialsAuthenticationHandler的bean配置中,添加属性p:requireSecure="false",例如:
requireSecure属性意思为是否需要安全验证,即HTTPS,false为不采用
2)修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml文件的id=ticketGrantingTicketCookieGenerator的配置,修改p:cookieSecure="true"的属性为false,例如:
注意:
1. p:cookieMaxAge="-1",是COOKIE的最大生命周期,-1为无生命周期,即只在当前打开的窗口有效,关闭或重新打开其它窗口,仍会要求验证。可以根据需要修改为大于0的数字,比如3600等,意思是在3600秒内,打开任意窗口,都不需要验证。
2. cookieMaxAge设为3600
3. 该配置文件和ticket(票据)有关系
3)修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml文件的id=warnCookieGenerator的cookieSecure值为发了,cookieMaxAge可以设为3600,如图:
7. CAS 入门Demo
这里我们需要创建2个web工程,采用的是cas原生的配置方式来做。
7.1 CAS客户端1
1)创建Maven工程 (war)casclient_demo1 引入cas客户端依赖并制定tomcat运行端口为9001
2)引入依赖
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<groupId>com.bjc.cas</groupId>
<artifactId>casclient_demo1</artifactId>
<version>0.0.1-SNAPSHOT</version>
<packaging>war</packaging>
<dependencies>
<!-- cas -->
<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.3.3</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>2.5</version>
<scope>provided</scope>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>2.3.2</version>
<configuration>
<source>1.7</source>
<target>1.7</target>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<configuration>
<!-- 指定端口 -->
<port>9001</port>
<!-- 请求路径 -->
<path>/</path>
</configuration>
</plugin>
</plugins>
</build>
</project>
3)配置web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责用户的认证工作,必须启用它 -->
<filter>
<filter-name>CASFilter</filter-name> <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>http://localhost:9100/cas/login</param-value>
<!--这里的连接是cas的服务端的IP -->
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:9001</param-value>
<!--这里的连接是当前应用的根地址 -->
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class> org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:9100/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:9001</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name> <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
通过web.xml的配置,我们可以发现,cas基本上是通过过滤器来完成相关操作的。
4)编写index.jsp页面
<%@ page language="java" contentType="text/html; charset=utf-8"
pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>cas client demo1</title>
</head>
<body>
cas client demo1 <br/>
<%=request.getRemoteUser()%>
</body>
</html>
注意:request.getRemoteUser()为获取远程登录名
7.2 CAS客户端2
客户端2的搭建与1一样,就是需要更改一下web.xml中的当前应用的IP地址
7.3 测试
1)使用http://localhost:9002 网址,需要登录,如图;
登录成功之后,如图:
2)在使用http://localhost:9001/ 网址操作,如图,输入网址就可以了,无需重复登录
8. 单点退出
单点退出,就是在一个客户端退出,其他的客户端同时退出的技术,在CAS技术中,我们只需要输入CAS服务端连接+cas/logout即可,例如:http://localhost:9100/cas/logout
然后,页面提示退出成功的提示,如图;
接下来,再看刚才的demo1和demo2的界面,发现都退出来了,如图;
我们发现,虽然我们实现了单点退出,但是这个界面不大友好,我们希望退出界面统一跳转到一个指定的页面,这个时候,我们需要更改CAS的cas\WEB-INF\cas-servlet.xml配置文件,将id为logoutAction的bean的属性p:followServiceRedirects的属性值改成true,如图;
改完之后,我们就可以通过服务重定向的方式来指定退出页面了,怎么重定向了,很简单,只需要在cas/logout后面加上如下代码即可:?service=url,例如;
http://localhost:9100/cas/logout?service=http://www.baidu.com
注意:CAS的单点退出功能主要依赖web.xml的CAS Single Sign Out Filter,也就是说,我们要实现单点退出,需要配置该过滤器,代码如下;
<!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>