原文地址: http://www.micmiu.com/enterprise-app/sso/sso-cas-sample/
本文目录:
- 一、概述
- 二、演示环境
- 三、JDK安装配置
- 四、安全证书配置
- 五、部署CAS-Server相关的Tomcat
- 六、部署CAS-Client相关的Tomcat
- 七、 测试验证SSO
一、概述
此文的目的就是为了帮助初步接触SSO和CAS 的人员提供一个入门指南,一步一步演示如何实现基于CAS的单点登录。
CAS的官网:http://www.jasig.org/cas
二、演示环境
本文演示过程在同一个机器上的(也可以在三台实体机器或者三个的虚拟机上),环境如下:
- windows7 64位,主机名称:michael-pc
- JDK 1.6.0_18
- Tomcat 6.0.29
- CAS-server-3.4.11、CAS-client-3.2.1
根据演示需求,用修改hosts 文件的方法添加域名最简单方便(这个非常重要),在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三条
127.0.0.1 demo.micmiu.com
127.0.0.1 app1.micmiu.com
127.0.0.1 app2.micmiu.com
- demo.micmiu.com =>> 对应部署cas server的tomcat,这个虚拟域名还用于证书生成
- app1.micmiu.com =>> 对应部署app1 的tomcat
- app2.micmiu.com =>> 对应部署app2 的tomcat
三、JDK安装配置
这个详细过程就不在描述,如果是免安装版的,确保环境变量配置正确。
本机环境变量:JAVA_HOME=D:\jdk,如果看到以下信息则表示安装成功:
四、安全证书配置
有关keytool工具的详细运用见:http://www.micmiu.com/lang/java/keytool-start-guide/
4.1. 生成证书:
1 |
keytool -genkey -alias ssodemo -keyalg RSA -keysize 1024 -keypass michaelpwd -validity 365 -keystore g:\sso\ssodemo.keystore -storepass michaelpwd
|
ps:
- 截图中需要输入的姓名和上面hosts文件中配置的一致;
- keypass 和 storepass 两个密码要一致,否则下面tomcat 配置https 访问失败;
4.2.导出证书:
1 |
keytool -export -alias ssodemo -keystore g:\sso\ssodemo.keystore -fileg:\sso\ssodemo.crt -storepass michaelpwd
|
4.3.客户端导入证书:
1 |
keytool -import -keystore %JAVA_HOME%\jre\lib\security\cacerts -fileg:\sso\ssodemo.crt -alias ssodemo
|
ps:该命令中输入的密码和上面输入的不是同一个密码;如果是多台机器演示,需要在每一台客户端导入该证书。
五、部署CAS-Server相关的Tomcat
5.1. 配置HTTPS
解压apache-tomcat-6.0.29.tar.gz并重命名后的路径为 G:\sso\tomcat-cas,在文件 conf/server.xml文件找到:
修改成如下:
1 |
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" |
2 |
maxThreads="150" scheme="https" secure="true"
|
3 |
keystoreFile="g:/sso/ssodemo.keystore" keystorePass="michaelpwd"
|
4 |
clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8"
|
参数说明:
- keystoreFile 就是4.1中创建证书的路径
- keystorePass 就是4.1中创建证书的密码
5.2. 验证HTTPS配置
其他按照默认配置不作修改,双击%TOMCAT_HOME%\bin\startup.bat 启动tomcat-cas 验证https访问配置:
如果看到上述界面表示https 访问配置成功。
5.3 部署CAS-Server
CAS-Server 下载地址:http://www.jasig.org/cas/download
本文以cas-server-3.4.11-release.zip 为例,解压提取cas-server-3.4.11/modules/cas-server-webapp-3.4.11.war文件,把改文件copy到 G:\sso\tomcat-cas\webapps\ 目下,并重命名为:cas.war.
启动tomcat-cas,在浏览器地址栏输入:https://demo.micmiu.com:8443/cas/login ,回车
CAS-server的默认验证规则:只要用户名和密码相同就认证通过(仅仅用于测试,生成环境需要根据实际情况修改),输入admin/admin 点击登录,就可以看到登录成功的页面:
看到上述页面表示CAS-Server已经部署成功。
六、部署CAS-Client相关的Tomcat
6.1Cas-Client 下载
CAS-Client 下载地址:http://downloads.jasig.org/cas-clients/
以cas-client-3.2.1-release.zip 为例,解压提取cas-client-3.2.1/modules/cas-client-core-3.2.1.jar
借以tomcat默认自带的 webapps\examples 作为演示的简单web项目
6.2 安装配置 tomcat-app1
解压apache-tomcat-6.0.29.tar.gz并重命名后的路径为 G:\sso\tomcat-app1,修改tomcat的启动端口,在文件conf/server.xml文件找到如下内容:
1 |
<Connector port="8080" protocol="HTTP/1.1"
|
2 |
connectionTimeout="20000"
|
4 |
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
|
修改成如下:
1 |
<Connector port="18080" protocol="HTTP/1.1"
|
2 |
connectionTimeout="20000"
|
3 |
redirectPort="18443" />
|
4 |
<Connector port="18009" protocol="AJP/1.3" redirectPort="18443" />
|
启动tomcat-app1,浏览器输入 http://app1.micmiu.com:18080/examples/servlets/ 回车:
看到上述界面表示tomcat-app1的基本安装配置已经成功。
接下来复制 client的lib包cas-client-core-3.2.1.jar到 tomcat-app1\webapps\examples\WEB-INF\lib\目录下, 在tomcat-app1\webapps\examples\WEB-INF\web.xml 文件中增加如下内容:
4 |
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
|
9 |
<filter-name>CAS Single Sign Out Filter</filter-name>
|
10 |
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
|
13 |
<filter-name>CAS Single Sign Out Filter</filter-name>
|
14 |
<url-pattern>/*</url-pattern>
|
18 |
<filter-name>CAS Filter</filter-name>
|
19 |
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
|
21 |
<param-name>casServerLoginUrl</param-name>
|
25 |
<param-name>serverName</param-name>
|
30 |
<filter-name>CAS Filter</filter-name>
|
31 |
<url-pattern>/*</url-pattern>
|
35 |
<filter-name>CAS Validation Filter</filter-name>
|
37 |
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
|
39 |
<param-name>casServerUrlPrefix</param-name>
|
43 |
<param-name>serverName</param-name>
|
48 |
<filter-name>CAS Validation Filter</filter-name>
|
49 |
<url-pattern>/*</url-pattern>
|
57 |
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
|
59 |
org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
|
62 |
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
|
63 |
<url-pattern>/*</url-pattern>
|
71 |
<filter-name>CAS Assertion Thread Local Filter</filter-name>
|
72 |
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
|
75 |
<filter-name>CAS Assertion Thread Local Filter</filter-name>
|
76 |
<url-pattern>/*</url-pattern>
|
有关cas-client的web.xml修改的详细说明见官网介绍:
https://wiki.jasig.org/display/CASC/Configuring+the+JA-SIG+CAS+Client+for+Java+in+the+web.xml
6.3 安装配置 tomcat-app2
解压apache-tomcat-6.0.29.tar.gz并重命名后的路径为 G:\sso\tomcat-app2,修改tomcat的启动端口,在文件 conf/server.xml文件找到如下内容:
1 |
<Connector port="8080" protocol="HTTP/1.1"
|
2 |
connectionTimeout="20000"
|
4 |
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
|
修改成如下:
1 |
<Connector port="28080" protocol="HTTP/1.1"
|
2 |
connectionTimeout="20000"
|
3 |
redirectPort="28443" />
|
4 |
<Connector port="28009" protocol="AJP/1.3" redirectPort="28443" />
|
启动tomcat-app2,浏览器输入 http://app2.micmiu.com:28080/examples/servlets/ 回车,按照上述6.2中的方法验证是否成功。
同6.2中的复制 client的lib包cas-client-core-3.2.1.jar到 tomcat-app2\webapps\examples\WEB-INF\lib\目录下, 在tomcat-app2\webapps\examples\WEB-INF\web.xml 文件中增加如下内容:
4 |
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
|
9 |
<filter-name>CAS Single Sign Out Filter</filter-name>
|
10 |
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
|
13 |
<filter-name>CAS Single Sign Out Filter</filter-name>
|
14 |
<url-pattern>/*</url-pattern>
|
18 |
<filter-name>CAS Filter</filter-name>
|
19 |
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
|
21 |
<param-name>casServerLoginUrl</param-name>
|
25 |
<param-name>serverName</param-name>
|
30 |
<filter-name>CAS Filter</filter-name>
|
31 |
<url-pattern>/*</url-pattern>
|
35 |
<filter-name>CAS Validation Filter</filter-name>
|
37 |
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
|
39 |
<param-name>casServerUrlPrefix</param-name>
|
43 |
<param-name>serverName</param-name>
|
48 |
<filter-name>CAS Validation Filter</filter-name>
|
49 |
<url-pattern>/*</url-pattern>
|
57 |
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
|
59 |
org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
|
62 |
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
|
63 |
<url-pattern>/*</url-pattern>
|
71 |
<filter-name>CAS Assertion Thread Local Filter</filter-name>
|
72 |
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
|
75 |
<filter-name>CAS Assertion Thread Local Filter</filter-name>
|
76 |
<url-pattern>/*</url-pattern>
|
七、 测试验证SSO
启动之前配置好的三个tomcat分别为:tomcat-cas、tomcat-app1、tomcat-app2.
7.1 基本的测试
预期流程: 打开app1 url —-> 跳转cas server 验证 —-> 显示app1的应用 —-> 打开app2 url —-> 显示app2应用 —-> 注销cas server —-> 打开app1/app2 url —-> 重新跳转到cas server 验证.
打开浏览器地址栏中输入:http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample,回车:
跳转到验证页面:
验证通过后显示如下:
此时访问app2就不再需要验证:
地址栏中输入:https://demo.micmiu.com:8443/cas/logout,回车显示:
上述表示 认证注销成功,此时如果再访问 : http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample 或 http://app2.micmiu.com:28080/examples/servlets/servlet/HelloWorldExample 需要重新进行认证。
7.2 获取登录用户的信息
修改HelloWorldExample.java,重新编译替换webapps\examples\WEB-INF\classes\HelloWorldExample.class文件,修改后的HelloWorldExample.java代码如下:
3 |
import java.util.Map.Entry;
|
5 |
import javax.servlet.*;
|
6 |
import javax.servlet.http.*;
|
8 |
import org.jasig.cas.client.authentication.AttributePrincipal;
|
9 |
import org.jasig.cas.client.util.AbstractCasFilter;
|
10 |
import org.jasig.cas.client.validation.Assertion;
|
13 |
* The simplest possible servlet.
|
15 |
* @author James Duncan Davidson
|
18 |
public class HelloWorldExample extends HttpServlet {
|
20 |
public void doGet(HttpServletRequest request, HttpServletResponse response)
|
21 |
throws IOException, ServletException {
|
22 |
ResourceBundle rb = ResourceBundle.getBundle("LocalStrings", request
|
24 |
response.setContentType("text/html");
|
25 |
PrintWriter out = response.getWriter();
|
27 |
out.println("<html>");
|
28 |
out.println("<head>");
|
30 |
String title = rb.getString("helloworld.title");
|
32 |
out.println("<title>" + title + "</title>");
|
33 |
out.println("</head>");
|
34 |
out.println("<body bgcolor=\"white\">");
|
36 |
out.println("<a href=\"../helloworld.html\">");
|
37 |
out.println("<img src=\"../images/code.gif\" height=24 "
|
38 |
+ "width=24 align=right border=0 alt=\"view code\"></a>");
|
39 |
out.println("<a href=\"../index.html\">");
|
40 |
out.println("<img src=\"../images/return.gif\" height=24 "
|
41 |
+ "width=24 align=right border=0 alt=\"return\"></a>");
|
42 |
out.println("<h1>" + title + "</h1>");
|
44 |
Assertion assertion = (Assertion) request.getSession().getAttribute(
|
45 |
AbstractCasFilter.CONST_CAS_ASSERTION);
|
47 |
if (null != assertion) {
|
48 |
out.println(" Log | ValidFromDate =:"
|
49 |
+ assertion.getValidFromDate() + "<br>");
|
50 |
out.println(" Log | ValidUntilDate =:"
|
51 |
+ assertion.getValidUntilDate() + "<br>");
|
52 |
Map<Object, Object> attMap = assertion.getAttributes();
|
53 |
out.println(" Log | getAttributes Map size = " + attMap.size()
|
55 |
for (Entry<Object, Object> entry : attMap.entrySet()) {
|
56 |
out.println(" | " + entry.getKey() + "=:"
|
57 |
+ entry.getValue() + "<br>");
|
61 |
AttributePrincipal principal = assertion.getPrincipal();
|
66 |
String username = null;
|
67 |
out.print(" Log | UserName:");
|
68 |
if (null != principal) {
|
69 |
username = principal.getName();
|
70 |
out.println("<span style='color:red;'>" + username + "</span><br>");
|
73 |
out.println("</body>");
|
74 |
out.println("</html>");
|
再进行上述测试显示结果如下:
http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample :
http://app2.micmiu.com:28080/examples/servlets/servlet/HelloWorldExample
从上述页面可以看到通过认证的用户名。
到此已经全部完成了CAS单点登录实例演示。
相关推荐
使用keytool 工具为演示生成一个自签名证书................................................................... 4 三. 安装tomcat .............................................................................
SSO(Single Sign-On)单点登录是一种网络应用的认证技术,它允许用户在一个系统或应用中登录后,无需再次输入凭证即可访问其他关联的系统或应用。这大大提升了用户体验,减少了用户记忆多个密码的负担,同时也有助...
SSO(Single Sign-On)单点登录是一种网络应用中...总结来说,SSO单点登录实例是一个学习和实践SSO技术的好材料。通过理解和运行这个Demo,你不仅能掌握SSO的基本原理,还能了解到如何在实际开发中实施和优化SSO系统。
在"SSO单点登录实例"中,我们可以理解为有一个实际的应用场景或项目,演示了如何配置和实施SSO功能。这通常涉及到以下步骤: 1. **环境准备**:设置认证中心和至少一个服务提供者。IdP可能是一个开源项目如CAS、...
本资源“落雨博客基于CAS框架的单点登录技术讲解(ppt+code实例+doc)配套资料”提供了一个全面的学习材料,包括PPT演示、代码实例和文档,帮助你深入理解并掌握如何在实际项目中运用CAS进行单点登录的实现。...
总结,通过学习和实践这个"利用CAS实现单点登录的完整实例",你将掌握如何使用Jasig CAS构建一个高效的单点登录系统,从而提升用户体验,简化身份验证管理,并加强系统的安全性。记得深入理解每个步骤,并根据实际...
通过以上步骤,你可以建立一个基本的CAS单点登录环境。然而,实际部署中可能涉及更多细节,例如安全策略、性能优化、监控等。理解并掌握这些知识点,将有助于你构建稳定、高效且安全的SSO系统。
这个"SSO-CASDemo"提供了完整的SSO实现环境,对于初学者来说,通过此示例可以深入理解SSO和CAS的工作原理,以及如何在Java应用中集成CAS实现单点登录功能。同时,它也为有经验的开发者提供了快速验证和调试SSO配置的...
- `单点登录DEMO_6993043.zip`:可能是一个基础的SSO演示,展示了如何在一个简单的Java应用中集成SSO功能。 这些文件可以帮助开发者理解并实践Java SSO的实现过程,结合实际案例学习和调试,以便更好地掌握SSO的...
CAS(Central Authentication Service)是Java开发的一个开源身份验证框架,主要功能是实现单点登录(Single Sign-On,SSO)。单点登录允许用户在访问多个系统时只需进行一次登录,提高了用户体验并增强了安全性。...
3. **单点登录**:用户只需一次登录,即可访问所有集成到CAS的系统,减轻了用户记忆多套登录凭证的负担。 4. **代理认证**:允许一个应用代表用户去获取其他应用的票证,这对于后台服务间的交互非常有用。 5. **...
单点登录 (SSO) - **配置 JA-SIG**: 使用 CAS 协议实现 SSO。 - **配置 Spring Security**: 配置客户端以支持 CAS SSO。 - **运行配置了 CAS 的子系统**: 验证 SSO 功能。 - **为 CAS 配置 SSL**: 保护 CAS 服务器...
单点登录(Single Sign-On, SSO)** - **13.1 配置JA-SIG** - 配置JA-SIG CAS服务器。 - **示例代码**: 配置CAS服务器。 - **13.2 配置Spring Security** - 配置Spring Security来支持SSO。 - **示例代码**: 在...