- 浏览: 540924 次
- 性别:
- 来自: 北京
文章分类
- 全部博客 (278)
- freemarker (6)
- flex应用 (12)
- Ext应用 (11)
- 软件 (16)
- java (61)
- 报表 (6)
- 框架基础 (6)
- 登录页面素材 (7)
- oracle (1)
- cas (10)
- lucene (6)
- linux (11)
- 视频 (10)
- springmvc (3)
- 视频服务器相关 (12)
- 开发工具 (7)
- IOS (20)
- 网站相关 (4)
- Java 任务调度系统带图形界面的 (1)
- maven (2)
- android (29)
- hadoop (3)
- SpagoBI (3)
- docx4j (4)
- 多线程 (2)
- storm (2)
- mobile 框架 (3)
- scala (1)
- socket (1)
- saiku (1)
最新评论
-
ZXCLTN:
1.streams目录,在里面放些flv,mp3之类的文件,这 ...
red5 整合到tomcat中(二) -
ZXCLTN:
写的没偷没尾的,还不如提供整个项目下载
red5 整合到tomcat中(二) -
01jiangwei01:
测试方法1:测试50个线 ...
hibernate 乐观锁 测试 -
01jiangwei01:
测试方法1:测试50个线程,同时并发访问。目标:只有一个通过, ...
hibernate 乐观锁 测试 -
xiaobadi:
你每次登陆都是跳到http://localhost:8081/ ...
cas 系统实例 服务端配置(二) 自定义登录
服务端配置
cas是个好东西,很灵活很好用,但是配置起来很麻烦,网上资料比较零碎。不弄个三五天根本不知道其中的原理,终于在多天的奋斗中配置成功,现在将配置的一些过程记录下来供大家参考。
cas官方网站
下载最新的服务端 CAS Server 3.3.3 Final
解压后将modules下面的cas-server-webapp-3.3.3.war部署到web服务器,作为单点登录的服务器。
登录的服务器下面很多配置文件,通过配置可以做一些扩展。
修改点1:验证方式使用我们自己的用户表验证
cas和当前已有的系统做集成的入口
1.修改deployerConfigContext.xml文件
添加数据源配置
- < bean id = "casDataSource" class = "org.apache.commons.dbcp.BasicDataSource" >
- < property name = "driverClassName" >
- < value > com.mysql.jdbc.Driver </ value >
- </ property >
- < property name = "url" >
- < value > jdbc:mysql://192.168.1.100/ires? useUnicode = true & characterEncoding = UTF -8& autoReconnect = true </ value >
- </ property >
- < property name = "username" >
- < value > ires </ value >
- </ property >
- < property name = "password" >
- < value > i709394 </ value >
- </ property >
- </ bean >
定义MD5的加密方式
- < bean id = "passwordEncoder"
- class = "org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire = "byName" >
- < constructor-arg value = "MD5" />
- </ bean >
配置authenticationManager下面的authenticationHandlers属性
- < bean class = "org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler" >
- < property name = "dataSource" ref = "casDataSource" />
- < property name = "sql" value = "select community_password from community_user_info where lower(community_user_info.community_user) = lower(?)" />
- < property name = "passwordEncoder" ref = "passwordEncoder" />
- </ bean >
修改点2:获取用户信息保存,方便各个客户端可以统一得到用户信息
1.定义attributeRepository,通过jdbc查询用户的详细信息,可以把用户表或用户的所属组织机构或角色等查询出来。
- < bean id = "attributeRepository" class = "org.jasig.services.persondir.support.jdbc.SingleRowJdbcPersonAttributeDao" >
- < constructor-arg index = "0" ref = "casDataSource" />
- < constructor-arg index = "1" >
- < list >
- < value > username </ value >
- < value > username </ value >
- </ list >
- </ constructor-arg >
- < constructor-arg index = "2" >
- < value >
- select * ,(SELECT orgn_organization.id from orgn_organization left join orgn_member on orgn_member.orgn_id = orgn_organization .id left join community_user_info on community_user_info.id = orgn_member .user_id where community_user_info.community_user = ?) as orgnId from community_user_info where community_user =?
- </ value >
- </ constructor-arg >
- < property name = "columnsToAttributes" >
- < map >
- < entry key = "id" value = "id" />
- < entry key = "community_user" value = "userName" />
- < entry key = "orgnId" value = "orgnId" />
- < entry key = "is_admin" value = "isAdmin" />
- </ map >
- </ property >
- </ bean >
2.配置authenticationManager中credentialsToPrincipalResolvers属性
- < bean class = "org.jasig.cas.authentication.principal.UsernamePasswordCredentialsToPrincipalResolver" >
- < property name = "attributeRepository" ref = "attributeRepository" /> </ bean >
注意:默认cas登录服务器没有把用户信息传到客户端中 ,所以要修改WEB-INF\view\jsp\protocol\2.0\casServiceValidationSuccess.jsp文件,增加
- < c:if test = "${fn:length(assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes) > 0}" >
- < cas:attributes >
- < c:forEach var = "attr" items = "${assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes}" >
- < cas: ${fn:escapeXml(attr.key)} > ${fn:escapeXml(attr.value)} </ cas: ${fn:escapeXml(attr.key)} >
- </ c:forEach >
- </ cas:attributes >
- </ c:if >
修改点3:用数据库来保存登录的会话
这样服务器在重新启动的时候不会丢失会话。
1.修改ticketRegistry.xml文件
将默认的ticketRegistry改成
- < bean id = "ticketRegistry" class = "org.jasig.cas.ticket.registry.JpaTicketRegistry" >
- < constructor-arg index = "0" ref = "entityManagerFactory" />
- </ bean >
- < bean id = "entityManagerFactory" class = "org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean" >
- < property name = "dataSource" ref = "dataSource" />
- < property name = "jpaVendorAdapter" >
- < bean class = "org.springframework.orm.jpa.vendor.HibernateJpaVendorAdapter" >
- < property name = "generateDdl" value = "true" />
- < property name = "showSql" value = "true" />
- </ bean >
- </ property >
- < property name = "jpaProperties" >
- < props >
- < prop key = "hibernate.dialect" > org.hibernate.dialect.MySQLDialect </ prop >
- < prop key = "hibernate.hbm2ddl.auto" > update </ prop >
- </ props >
- </ property >
- </ bean >
- < bean id = "transactionManager" class = "org.springframework.orm.jpa.JpaTransactionManager"
- p:entityManagerFactory-ref = "entityManagerFactory" />
- < tx:annotation-driven transaction-manager = "transactionManager" />
- < bean
- id = "dataSource"
- class = "org.apache.commons.dbcp.BasicDataSource"
- p:driverClassName = "com.mysql.jdbc.Driver"
- p:url = "jdbc:mysql://192.168.1.100:3306/cas?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true"
- p:password = "709394"
- p:username = "itravel" />
配置完之后还需要一些jar的支持,根据提示那些包缺少到网上找。
修改点4:配置remenber me的功能,可以让客户端永久保存session
1.修改deployerConfigContext.xml文件
authenticationManager增加authenticationMetaDataPopulators属性
- < property name = "authenticationMetaDataPopulators" >
- < list >
- < bean class = "org.jasig.cas.authentication.principal.RememberMeAuthenticationMetaDataPopulator" />
- </ list >
- </ property >
2.修改cas-servlet.xml
修改authenticationViaFormAction配置变成
- < bean id = "authenticationViaFormAction" class = "org.jasig.cas.web.flow.AuthenticationViaFormAction"
- p:centralAuthenticationService-ref = "centralAuthenticationService"
- p:formObjectClass = "org.jasig.cas.authentication.principal.RememberMeUsernamePasswordCredentials"
- p:formObjectName = "credentials"
- p:validator-ref = "UsernamePasswordCredentialsValidator"
- p:warnCookieGenerator-ref = "warnCookieGenerator" />
增加UsernamePasswordCredentialsValidator
- < bean id = "UsernamePasswordCredentialsValidator" class = "org.jasig.cas.validation.UsernamePasswordCredentialsValidator" />
修改ticketExpirationPolicies.xml,grantingTicketExpirationPolicy配置如下,注意时间要加大,不然session很容易过期,达不到remember me的效果。
- < bean id = "grantingTicketExpirationPolicy" class = "org.jasig.cas.ticket.support.RememberMeDelegatingExpirationPolicy" >
- < property name = "sessionExpirationPolicy" >
- < bean class = "org.jasig.cas.ticket.support.TimeoutExpirationPolicy" >
- < constructor-arg index = "0" value = "2592000000" />
- </ bean >
- </ property >
- < property name = "rememberMeExpirationPolicy" >
- < bean class = "org.jasig.cas.ticket.support.TimeoutExpirationPolicy" >
- < constructor-arg index = "0" value = "2592000000" />
- </ bean >
- </ property >
- </ bean >
登录页面要增加隐藏字段rememberMe,值是true,或用一个checkbox来勾选。
修改点5:取消https验证
在网络安全性较好,对系统安全没有那么高的情况下可以取消https验证,使系统更加容易部署。
1.修改ticketGrantingTicketCookieGenerator.xml
- < bean id = "ticketGrantingTicketCookieGenerator" class = "org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
- p:cookieSecure = "false"
- p:cookieMaxAge = "-1"
- p:cookieName = "CASTGC"
- p:cookiePath = "/cas" />
p:cookieSecure改成false,客户端web.xml中单独服务器的链接改成http
使用https协议的配置
1.证书生成和导入
下面是一个生成证书和导入证书的bat脚本,如果web应用和单独登录服务器部署在同一台机可以一起执行
- @echo off
- if "%JAVA_HOME%" == "" goto error
- @echo on
- @echo off
- cls
- rem please set the env JAVA_HOME before run this bat file
- rem delete alia tomcat if it is existed
- keytool - delete -alias tomcatsso -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
- keytool - delete -alias tomcatsso -storepass changeit
- REM (注释: 清除系统中可能存在的名字为tomcatsso 的同名证书)
- rem list all alias in the cacerts
- keytool -list -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
- REM (注释: 列出系统证书仓库中存在证书名称列表)
- rem generator a key
- keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=localhost" -storepass changeit
- REM (注释:指定使用RSA算法,生成别名为tomcatsso的证书,存贮口令为changeit,证书的DN为 "cn=linly" ,这个DN必须同当前主机完整名称一致哦,切记!!!)
- rem export the key
- keytool -export -alias tomcatsso -file "%java_home%/jre/lib/security/tomcatsso.crt" -storepass changeit
- REM (注释: 从keystore中导出别名为tomcatsso的证书,生成文件tomcatsso.crt)
- rem import into trust cacerts
- keytool -import -alias tomcatsso -file "%java_home%/jre/lib/security/tomcatsso.crt" -keystore "%java_home%/jre/lib/security/cacerts" -storepass changeit
- REM (注释:将tomcatsso.crt导入jre的可信任证书仓库。注意,安装JDK是有两个jre目录,一个在jdk底下,一个是独立的jre,这里的目录必须同Tomcat使用的jre目录一致,否则后面Tomcat的HTTPS通讯就找不到证书了)
- rem list all alias in the cacerts
- keytool -list -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
- pause
- :error
- echo 请先设置JAVA_HOME环境变量
- :end
3.将.keystore文件拷贝到tomcat的conf目录下面,注意.keystore会在证书生成的时候生成到系统的用户文件夹中,如windows会生产到C:\Documents and Settings\[yourusername]\下面
2.配置tomcat,把https协议的8443端口打开,指定证书的位置。
- < Connector port = "8443" maxHttpHeaderSize = "8192"
- maxThreads = "150" minSpareThreads = "25" maxSpareThreads = "75"
- enableLookups = "false" disableUploadTimeout = "true"
- acceptCount = "100" scheme = "https" secure = "true"
- clientAuth = "false" sslProtocol = "TLS"
- keystoreFile = "conf/.keystore" keystorePass = "changeit" truststoreFile = "C:\Program Files\Java\jdk1.5.0_07\jre\lib\security\cacerts" />
客户端配置
cas官方网站上面的客户端下载地址比较隐秘,没有完全公开,具体地址为
http://www.ja-sig.org/downloads/cas-clients/
下载最新的cas-client-3.1.6-release.zip
1.解压后把modules下面的包放到我们的web应用中
2.配置web.xml,注意encodingFilter要提前配置,不然会出现数据插入数据库的时候有乱码。
serverName是我们web应用的地址和端口
- < context-param >
- < param-name > serverName </ param-name >
- < param-value > 192.168.1.145:81 </ param-value >
- </ context-param >
- < filter >
- < filter-name > encodingFilter </ filter-name >
- < filter-class >
- org.springframework.web.filter.CharacterEncodingFilter
- </ filter-class >
- < init-param >
- < param-name > encoding </ param-name >
- < param-value > UTF-8 </ param-value >
- </ init-param >
- < init-param >
- < param-name > forceEncoding </ param-name >
- < param-value > true </ param-value >
- </ init-param >
- </ filter >
- < filter-mapping >
- < filter-name > encodingFilter </ filter-name >
- < url-pattern > *.htm </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > encodingFilter </ filter-name >
- < url-pattern > *.ftl </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > encodingFilter </ filter-name >
- < url-pattern > *.xhtml </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > encodingFilter </ filter-name >
- < url-pattern > *.html </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > encodingFilter </ filter-name >
- < url-pattern > *.shtml </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > encodingFilter </ filter-name >
- < url-pattern > *.jsp </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > encodingFilter </ filter-name >
- < url-pattern > *.do </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > encodingFilter </ filter-name >
- < url-pattern > *.vm </ url-pattern >
- </ filter-mapping >
- < filter >
- < filter-name > CAS Single Sign Out Filter </ filter-name >
- < filter-class >
- org.jasig.cas.client.session.SingleSignOutFilter
- </ filter-class >
- </ filter >
- < filter-mapping >
- < filter-name > CAS Single Sign Out Filter </ filter-name >
- < url-pattern > /* </ url-pattern >
- </ filter-mapping >
- < listener >
- < listener-class >
- org.jasig.cas.client.session.SingleSignOutHttpSessionListener
- </ listener-class >
- </ listener >
- < filter >
- < filter-name > CAS Authentication Filter </ filter-name >
- < filter-class >
- org.jasig.cas.client.authentication.AuthenticationFilter
- </ filter-class >
- < init-param >
- < param-name > casServerLoginUrl </ param-name >
- < param-value > http://192.168.1.100/cas/login </ param-value >
- </ init-param >
- </ filter >
- < filter >
- < filter-name > CAS Validation Filter </ filter-name >
- < filter-class >
- org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
- </ filter-class >
- < init-param >
- < param-name > casServerUrlPrefix </ param-name >
- < param-value > http://192.168.1.100/cas </ param-value >
- </ init-param >
- </ filter >
- < filter >
- < filter-name > CAS HttpServletRequest Wrapper Filter </ filter-name >
- < filter-class >
- org.jasig.cas.client.util.HttpServletRequestWrapperFilter
- </ filter-class >
- </ filter >
- < filter >
- < filter-name > CAS Assertion Thread Local Filter </ filter-name >
- < filter-class >
- org.jasig.cas.client.util.AssertionThreadLocalFilter
- </ filter-class >
- </ filter >
- < filter-mapping >
- < filter-name > CAS Authentication Filter </ filter-name >
- < url-pattern > /* </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > CAS Validation Filter </ filter-name >
- < url-pattern > /* </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > CAS HttpServletRequest Wrapper Filter </ filter-name >
- < url-pattern > /* </ url-pattern >
- </ filter-mapping >
- < filter-mapping >
- < filter-name > CAS Assertion Thread Local Filter </ filter-name >
- < url-pattern > /* </ url-pattern >
- </ filter-mapping >
3.导入证书,如果不用https的话,这步可以跳过,把tomcatsso.crt 证书拷贝到c盘下面,在jdk的bin目录下面运行下面的语句。
- rem (注释: 清除系统中可能存在的名字为tomcatsso 的同名证书)
- keytool - delete -alias tomcatsso -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
- keytool - delete -alias tomcatsso -storepass changeit
- rem 在客户端的 JVM 里导入信任的 SERVER 的证书 ( 根据情况有可能需要管理员权限 )
- keytool - import -alias tomcatsso -file "c:/tomcatsso.crt" -keystore "%java_home%/jre/lib/security/cacerts" -storepass changeit
客户端获取登录用户名和用户信息实例
- HttpServletRequest request = ServletActionContext.getRequest();
- AttributePrincipal principal = (AttributePrincipal)request.getUserPrincipal();
- String username = principal.getName();
- Long orgnId = Long.parseLong(principal.getAttributes().get( "orgnId" ).toString());
发表评论
-
AESUtils
2018-01-17 14:13 505import java.io.UnsupportedEnc ... -
lbs比较两点坐标
2018-01-16 09:56 0int distance = (int) (S2LatLng. ... -
java ftp上传文件
2017-12-25 10:43 598工具类: import org.apache.c ... -
redis应用方法
2017-11-30 11:47 5531:统计一段时间内,某 ... -
风控系统1
2017-10-12 18:40 641... -
可以保持session的java代码片段
2017-07-12 21:04 652import java.io.File; impor ... -
ubuntu 搭建开发环境
2015-06-16 15:39 0jdk 可以参看其他网站; export JAVA_HO ... -
主线程等待10秒钟,无应答返回(一)
2015-06-05 15:26 2505场景需求: 其他应用向我们的应用A发来请求,如果应用 ... -
drools书籍
2015-03-13 18:23 962附件中有drools书籍 -
一个Tomcat支持不同的域名访问各自不同程序的配置方法
2015-03-11 09:56 554更多信息可以参考网址:http://329937021.i ... -
netty5 包简读
2015-02-13 18:16 0io.netty.bootstrap; 启动器i ... -
netty5 入门翻译
2015-02-12 18:01 859翻译网页网址:http://n ... -
spring-jms
2015-01-12 11:45 712这里写篇文章记录一下jms持久化到mysqlde 使用方 ... -
git 命令大全
2014-11-12 10:03 710git 学习网址http://git-scm.com/bo ... -
groovy eclipse 插件
2014-10-06 16:58 734eclipse version 4.4.0 groovy ... -
docx4j word 工具类及测试类
2014-10-02 22:14 1544import java.io.ByteArrayInputS ... -
docx4j 替换文本
2014-09-29 11:25 1468采用docx4j 替换word模板内容,并输出进行保存 ... -
docx4j 动态生成表格 (一 )
2014-09-28 19:18 1813使用docx4j模板动态制作表格代码实现过程(一 ),模 ... -
java 开发的各种例子
2014-08-13 17:55 641springmvc + springsecurity 实 ... -
tomcat 根项目部署方式
2014-07-08 09:50 577<Host name="admin.yid ...
相关推荐
在有证书环境下部署CAS Server,除了上述无证书配置外,还需要完成以下步骤: 1. **创建证书**: - 使用JDK自带的`keytool`工具生成证书。命令示例:`keytool -genkey -alias mycas -keyalg RSA -keystore d:/keys...
CAS(Central Authentication ...在实际开发中,可能还需要考虑其他因素,如SSL证书、自定义CAS服务器的配置、以及在多应用环境下的SSO集成。熟悉这些配置和流程,将有助于构建安全、高效的CAS集成ASP.NET应用程序。
### 单点登录CAS的配置过程详解 #### 一、引言 单点登录(Single Sign-On, SSO)是一种身份验证机制,允许用户通过一次登录即可访问多个应用系统而无需再次登录。CAS (Central Authentication Service) 是一种开源的...
本文将详细介绍CAS单点登录的基本配置过程,虽然文中提到的配置较为简单,但涵盖了CAS部署的核心步骤。请注意,此教程并未涉及复杂的验证机制或MD5校验等安全措施,因此仅适用于测试环境。 #### 二、准备工作 1. *...
CAS(Central Authentication Service)是耶鲁大学开发的开源SSO解决方案,它提供了一个简单但强大的身份验证框架。CAS支持多种应用程序和服务之间的单一登录体验,减少了用户记住和管理多个账户的复杂性。 CAS的...
这个Web工程提供了一个简单且完整的CAS客户端实现,旨在帮助开发者快速搭建和部署一个可以与CAS服务器协同工作的应用。 在SSO系统中,用户只需要登录一次就能访问多个相互信任的应用系统,而无需为每个系统单独进行...
该教程主要涵盖了如何在实际环境中配置和使用CAS服务,包括两种不同的配置方法:带证书的加密传输和不带证书的非加密传输。 一、带证书的配置方法: 1. 安装Tomcat7并确保已经配置好JDK1.7的环境变量。这是部署CAS ...
为了使其他应用系统能够使用CAS进行单点登录,需要对这些应用系统的CAS客户端进行证书配置。这包括但不限于: - 配置CAS客户端的URL。 - 设置CAS客户端的证书验证规则。 - 确保客户端能够正确解析CAS Server颁发的...
为了增强安全性,通常会配置CAS服务器使用HTTPS协议,这涉及到证书的配置和SSL设置。 2.5 自定义页面: 根据需求,可能需要自定义CAS的登录和登出页面,以满足品牌和用户体验的要求。 3. 配置JAVA CLIENT: 在Java...
总的来说,CAS SSO的配置涉及到服务器的搭建、客户端的集成、证书的管理和详细的配置参数调整。通过这样的配置,企业能够建立一套高效、安全的身份验证系统,提高用户满意度,同时也简化了IT部门的管理工作。
CAS的开发配置涉及证书管理、服务器端和客户端的配置等方面。 1. **HTTPS验证配置** - 配置步骤包括创建证书、导入证书、配置应用服务器,并进行测试。 2. **服务器端配置** - 包括部署CAS服务、认证接口扩展...
这一过程涵盖了从 Java Web 服务器环境搭建到 HTTPS 证书配置、CAS 过滤器设置及 CAS 服务器部署等关键步骤。对于希望快速部署 CAS 单点登录解决方案的技术人员而言,本实验提供了一套完整而清晰的操作指南。
- 修改 CAS 项目的配置文件 `deployerConfigContext.xml`,屏蔽默认的 `SimpleTestUsernamePasswordAuthenticationHandler`,它不再适用于我们的场景。 - 添加一个新的认证处理器,这个处理器将连接到 Oracle ...
1. **CAS 服务器配置**:需要在 CAS 服务器端启用代理认证的相关设置。 2. **客户端配置**:客户端应用需要正确配置以支持代理认证。 3. **HTTPS 配置**:确保所有涉及 CAS-Proxy 认证的通信均通过 HTTPS 进行。 4. ...
5. **配置文件**:`cas.properties`是CAS的核心配置文件,其中包含了服务定义、认证策略、日志设置、邮件通知等关键配置。对于数据库连接,开发者需要在该文件中查找并修改相关的属性,如`cas.server.name`、`cas....
CAS作为一个成熟的单点登录解决方案,不仅提供了简单易用的认证机制,而且支持多种编程语言和平台,使得它可以被轻松地集成到现有的Web应用中。通过理解CAS的基本原理和工作流程,我们可以更好地利用CAS来提升系统的...
为了更好地理解CAS的工作流程和具体实施步骤,以下将详细介绍如何搭建一套简单的CAS环境: 1. **下载CAS Server与Client** - CAS Server:可以从耶鲁大学提供的官方网站下载最新版本的CAS Server,例如`...