- 浏览: 146982 次
- 性别:
- 来自: 佛山
文章分类
最新评论
-
C393416691:
JNA—JNI终结者,java调用dll、ocx、so最简单的方法 -
C393416691:
JNA—JNI终结者,java调用dll、ocx、so最简单的方法 -
C393416691:
[flash=200,200][url][img][list] ...
JNA—JNI终结者,java调用dll、ocx、so最简单的方法 -
zhdycn:
感谢 LZ 的分享 都把核心 接口 都介绍了一下 一看你 ...
Spring3 MVC -
naily:
naily 写道很非常详细,对于了解spring mvc很有帮 ...
Spring3 MVC
原理描述
子系统所有请求被CAS过滤器拦截(web.xml中定义的cas过滤器)到,过滤器会将页面重定向CAS Server,CAS Server会判断用户是否已经登录,如果未登录,则定位到登录页面(CAS Server内的)。登录成功后,再重定向到用户先前访问的本系统页面。此时session里有一个名为的 edu.yale.its.tp.cas.client.filter.user属性。它存储的就是用户的登录名
cas官方网站
下载最新的服务端 CAS Server 3.3.3 Final
解压后将modules下面的cas-server-webapp-3.3.3.war部署到web服务器,作为单点登录的服务器。
登录的服务器下面很多配置文件,通过配置可以做一些扩展。
修改点1:验证方式使用我们自己的用户表验证
cas和当前已有的系统做集成的入口
1.修改deployerConfigContext.xml文件
添加数据源配置
< bean id = "casDataSource" class = "org.apache.commons.dbcp.BasicDataSource" > < property name = "driverClassName" > < value > com.mysql.jdbc.Driver </ value > </ property > < property name = "url" > < value > jdbc:mysql://192.168.1.100/ires? useUnicode = true & characterEncoding = UTF -8& autoReconnect = true </ value > </ property > < property name = "username" > < value > ires </ value > </ property > < property name = "password" > < value > i709394 </ value > </ property > </ bean >
定义MD5的加密方式
< bean id = "passwordEncoder" class = "org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire = "byName" > < constructor-arg value = "MD5" /> </ bean >
配置authenticationManager下面的authenticationHandlers属性
< bean class = "org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler" > < property name = "dataSource" ref = "casDataSource" /> < property name = "sql" value = "select community_password from community_user_info where lower(community_user_info.community_user) = lower(?)" /> < property name = "passwordEncoder" ref = "passwordEncoder" /> </ bean >
修改点2:获取用户信息保存,方便各个客户端可以统一得到用户信息
1.定义attributeRepository,通过jdbc查询用户的详细信息,可以把用户表或用户的所属组织机构或角色等查询出来。
< bean id = "attributeRepository" class = "org.jasig.services.persondir.support.jdbc.SingleRowJdbcPersonAttributeDao" > < constructor-arg index = "0" ref = "casDataSource" /> < constructor-arg index = "1" > < list > < value > username </ value > < value > username </ value > </ list > </ constructor-arg > < constructor-arg index = "2" > < value > select * ,(SELECT orgn_organization.id from orgn_organization left join orgn_member on orgn_member.orgn_id = orgn_organization .id left join community_user_info on community_user_info.id = orgn_member .user_id where community_user_info.community_user = ?) as orgnId from community_user_info where community_user =? </ value > </ constructor-arg > < property name = "columnsToAttributes" > < map > < entry key = "id" value = "id" /> < entry key = "community_user" value = "userName" /> < entry key = "orgnId" value = "orgnId" /> < entry key = "is_admin" value = "isAdmin" /> </ map > </ property > </ bean >
2.配置authenticationManager中credentialsToPrincipalResolvers属性
< bean class = "org.jasig.cas.authentication.principal.UsernamePasswordCredentialsToPrincipalResolver" > < property name = "attributeRepository" ref = "attributeRepository" /> </ bean >
注意:默认cas登录服务器没有把用户信息传到客户端中 ,所以要修改WEB- INF\view\jsp\protocol\2.0\casServiceValidationSuccess.jsp文件,增加
< c:if test = "${fn:length(assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes) > 0}" > < cas:attributes > < c:forEach var = "attr" items = "${assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes}" > < cas: ${fn:escapeXml(attr.key)} > ${fn:escapeXml(attr.value)} </ cas: ${fn:escapeXml(attr.key)} > </ c:forEach > </ cas:attributes > </ c:if >
修改点3:用数据库来保存登录的会话
这样服务器在重新启动的时候不会丢失会话。
1.修改ticketRegistry.xml文件
将默认的ticketRegistry改成
< bean id = "ticketRegistry" class = "org.jasig.cas.ticket.registry.JpaTicketRegistry" > < constructor-arg index = "0" ref = "entityManagerFactory" /> </ bean > < bean id = "entityManagerFactory" class = "org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean" > < property name = "dataSource" ref = "dataSource" /> < property name = "jpaVendorAdapter" > < bean class = "org.springframework.orm.jpa.vendor.HibernateJpaVendorAdapter" > < property name = "generateDdl" value = "true" /> < property name = "showSql" value = "true" /> </ bean > </ property > < property name = "jpaProperties" > < props > < prop key = "hibernate.dialect" > org.hibernate.dialect.MySQLDialect </ prop > < prop key = "hibernate.hbm2ddl.auto" > update </ prop > </ props > </ property > </ bean > < bean id = "transactionManager" class = "org.springframework.orm.jpa.JpaTransactionManager" p:entityManagerFactory-ref = "entityManagerFactory" /> < tx:annotation-driven transaction-manager = "transactionManager" /> < bean id = "dataSource" class = "org.apache.commons.dbcp.BasicDataSource" p:driverClassName = "com.mysql.jdbc.Driver" p:url = "jdbc:mysql://192.168.1.100:3306/cas?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true" p:password = "709394" p:username = "itravel" />
配置完之后还需要一些jar的支持,根据提示那些包缺少到网上找。
修改点4:配置remenber me的功能,可以让客户端永久保存session
1.修改deployerConfigContext.xml文件
authenticationManager增加authenticationMetaDataPopulators属性
< property name = "authenticationMetaDataPopulators" > < list > < bean class = "org.jasig.cas.authentication.principal.RememberMeAuthenticationMetaDataPopulator" /> </ list > </ property >
2.修改cas-servlet.xml
修改authenticationViaFormAction配置变成
< bean id = "authenticationViaFormAction" class = "org.jasig.cas.web.flow.AuthenticationViaFormAction" p:centralAuthenticationService-ref = "centralAuthenticationService" p:formObjectClass = "org.jasig.cas.authentication.principal.RememberMeUsernamePasswordCredentials" p:formObjectName = "credentials" p:validator-ref = "UsernamePasswordCredentialsValidator" p:warnCookieGenerator-ref = "warnCookieGenerator" />
增加UsernamePasswordCredentialsValidator
< bean id = "UsernamePasswordCredentialsValidator" class = "org.jasig.cas.validation.UsernamePasswordCredentialsValidator" /> 修改ticketExpirationPolicies.xml,grantingTicketExpirationPolicy配置如下,注意时间要加大,不然session很容易过期,达不到remember me的效果。 XML/HTML代码 < bean id = "grantingTicketExpirationPolicy" class = "org.jasig.cas.ticket.support.RememberMeDelegatingExpirationPolicy" > < property name = "sessionExpirationPolicy" > < bean class = "org.jasig.cas.ticket.support.TimeoutExpirationPolicy" > < constructor-arg index = "0" value = "2592000000" /> </ bean > </ property > < property name = "rememberMeExpirationPolicy" > < bean class = "org.jasig.cas.ticket.support.TimeoutExpirationPolicy" > < constructor-arg index = "0" value = "2592000000" /> </ bean > </ property > </ bean >
修改点5:取消https验证
在网络安全性较好,对系统安全没有那么高的情况下可以取消https验证,使系统更加容易部署。
1.修改ticketGrantingTicketCookieGenerator.xml
< bean id = "ticketGrantingTicketCookieGenerator" class = "org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure = "false" p:cookieMaxAge = "-1" p:cookieName = "CASTGC" p:cookiePath = "/cas" />
p:cookieSecure改成false,客户端web.xml中单独服务器的链接改成http
使用https协议的配置
1.证书生成和导入
下面是一个生成证书和导入证书的bat脚本,如果web应用和单独登录服务器部署在同一台机可以一起执行
@echo off if "%JAVA_HOME%" == "" goto error @echo on @echo off cls rem please set the env JAVA_HOME before run this bat file rem delete alia tomcat if it is existed keytool - delete -alias tomcatsso -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit keytool - delete -alias tomcatsso -storepass changeit REM (注释: 清除系统中可能存在的名字为tomcatsso 的同名证书) rem list all alias in the cacerts keytool -list -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit REM (注释: 列出系统证书仓库中存在证书名称列表) rem generator a key keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=localhost" -storepass changeit REM (注释:指定使用RSA算法,生成别名为tomcatsso的证书,存贮口令为 changeit,证书的DN为 "cn=linly" ,这个DN 必须同当前主机完整名称一致哦,切记!!!) rem export the key keytool -export -alias tomcatsso -file "%java_home%/jre/lib/security/tomcatsso.crt" -storepass changeit REM (注释: 从keystore中导出别名为tomcatsso的证书,生成文件 tomcatsso.crt) rem import into trust cacerts keytool -import -alias tomcatsso -file "%java_home%/jre/lib/security/tomcatsso.crt" -keystore "%java_home%/jre/lib/security/cacerts" -storepass changeit REM (注释:将tomcatsso.crt导入jre的可信任证书仓库。注意,安装 JDK是有两个jre目录,一个在jdk底下,一个是独立的jre,这里的目录必须同Tomcat使用的jre目录一致,否则后面Tomcat的 HTTPS通讯就找不到证书了) rem list all alias in the cacerts keytool -list -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit pause :error echo 请先设置JAVA_HOME环境变量 :end
3.将.keystore文件拷贝到tomcat的conf目录下面,注意.keystore会在证书生成的时候生成到系统的用户文件夹中,如 windows会生产到C:\Documents and Settings\[yourusername]\下面
2.配置tomcat,把https协议的8443端口打开,指定证书的位置。
< Connector port = "8443" maxHttpHeaderSize = "8192" maxThreads = "150" minSpareThreads = "25" maxSpareThreads = "75" enableLookups = "false" disableUploadTimeout = "true" acceptCount = "100" scheme = "https" secure = "true" clientAuth = "false" sslProtocol = "TLS" keystoreFile = "conf/.keystore" keystorePass = "changeit" truststoreFile = "C:\Program Files\Java\jdk1.5.0_07\jre\lib\security\cacerts" />
客户端配置
cas官方网站上面的客户端下载地址比较隐秘,没有完全公开,具体地址为
http://www.ja-sig.org/downloads/cas-clients/
下载最新的cas-client-3.1.6-release.zip
1.解压后把modules下面的包放到我们的web应用中
2.配置web.xml,注意encodingFilter要提前配置,不然会出现数据插入数据库的时候有乱码。
serverName是我们web应用的地址和端口
< context-param > < param-name > serverName </ param-name > < param-value > 192.168.1.145:81 </ param-value > </ context-param > < filter > < filter-name > encodingFilter </ filter-name > < filter-class > org.springframework.web.filter.CharacterEncodingFilter </ filter-class > < init-param > < param-name > encoding </ param-name > < param-value > UTF-8 </ param-value > </ init-param > < init-param > < param-name > forceEncoding </ param-name > < param-value > true </ param-value > </ init-param > </ filter > < filter-mapping > < filter-name > encodingFilter </ filter-name > < url-pattern > *.htm </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > encodingFilter </ filter-name > < url-pattern > *.ftl </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > encodingFilter </ filter-name > < url-pattern > *.xhtml </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > encodingFilter </ filter-name > < url-pattern > *.html </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > encodingFilter </ filter-name > < url-pattern > *.shtml </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > encodingFilter </ filter-name > < url-pattern > *.jsp </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > encodingFilter </ filter-name > < url-pattern > *.do </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > encodingFilter </ filter-name > < url-pattern > *.vm </ url-pattern > </ filter-mapping > < filter > < filter-name > CAS Single Sign Out Filter </ filter-name > < filter-class > org.jasig.cas.client.session.SingleSignOutFilter </ filter-class > </ filter > < filter-mapping > < filter-name > CAS Single Sign Out Filter </ filter-name > < url-pattern > /* </ url-pattern > </ filter-mapping > < listener > < listener-class > org.jasig.cas.client.session.SingleSignOutHttpSessionListener </ listener-class > </ listener > < filter > < filter-name > CAS Authentication Filter </ filter-name > < filter-class > org.jasig.cas.client.authentication.AuthenticationFilter </ filter-class > < init-param > < param-name > casServerLoginUrl </ param-name > < param-value > http://192.168.1.100/cas/login </ param-value > </ init-param > </ filter > < filter > < filter-name > CAS Validation Filter </ filter-name > < filter-class > org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter </ filter-class > < init-param > < param-name > casServerUrlPrefix </ param-name > < param-value > http://192.168.1.100/cas </ param-value > </ init-param > </ filter > < filter > < filter-name > CAS HttpServletRequest Wrapper Filter </ filter-name > < filter-class > org.jasig.cas.client.util.HttpServletRequestWrapperFilter </ filter-class > </ filter > < filter > < filter-name > CAS Assertion Thread Local Filter </ filter-name > < filter-class > org.jasig.cas.client.util.AssertionThreadLocalFilter </ filter-class > </ filter > < filter-mapping > < filter-name > CAS Authentication Filter </ filter-name > < url-pattern > /* </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > CAS Validation Filter </ filter-name > < url-pattern > /* </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > CAS HttpServletRequest Wrapper Filter </ filter-name > < url-pattern > /* </ url-pattern > </ filter-mapping > < filter-mapping > < filter-name > CAS Assertion Thread Local Filter </ filter-name > < url-pattern > /* </ url-pattern > </ filter-mapping >
3.导入证书,如果不用https的话,这步可以跳过,把tomcatsso.crt 证书拷贝到c盘下面,在jdk的bin目录下面运行下面的语句。
JavaScript代码
rem (注释: 清除系统中可能存在的名字为tomcatsso 的同名证书)
keytool - delete -alias tomcatsso -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
keytool - delete -alias tomcatsso -storepass changeit
rem 在客户端的 JVM 里导入信任的 SERVER 的证书 ( 根据情况有可能需要管理员权限 )
keytool - import -alias tomcatsso -file "c:/tomcatsso.crt" -keystore "%java_home%/jre/lib/security/cacerts" -storepass changeit
客户端获取登录用户名和用户信息实例
HttpServletRequest request = ServletActionContext.getRequest(); AttributePrincipal principal = (AttributePrincipal)request.getUserPrincipal(); String username = principal.getName(); Long orgnId = Long.parseLong(principal.getAttributes().get( "orgnId" ).toString());
发表评论
-
linux java sh
2015-11-25 17:06 641#! /bin/sh if [ -z "$ ... -
CentOS 6.6安装配置supervisor进程管理工具
2015-09-24 11:06 12931. Supervisor是一个C/S系统,它可以在类uni ... -
DenyHosts防SSH暴力破解
2014-04-14 22:21 708DenyHosts官方网站为:http://denyhost ... -
Centos 6配置SSH SFTP服务及权限设置
2014-04-01 18:03 1766从技术角度来分析,几个要求: 1、从安全方面看,sftp会 ... -
构建自已的Linux系统
2013-06-20 18:03 0实验环境:ubuntu 12.04 LTS 内核版本:li ... -
同步rsyncd
2013-04-28 16:34 0一、服务器端安装 1. ... -
linx服务安装配置
2013-04-28 16:33 0一、前提环境 1、安装常用依赖软件包: y ... -
mount --bind 的妙用
2013-04-19 21:42 1204文章转自:http://www.cnitblog.com/g ... -
linx服务安装配置
2013-04-13 20:09 0一、前提环境 1、安装常用依赖软件包: yu ... -
linux下查看各软件编译参数
2013-03-17 02:10 952在开发的过程中经常会遇到需要重新编译的问题,遇到这种情况该 ... -
Linux系统中查看日志的常用命令
2013-02-18 21:08 1428从nginx日志中得到访问量最高前5个IPcat acce ... -
LiveCD:学习Linux的好工具
2012-08-02 17:12 0下载地址:http://blog.opendigest. ... -
Linux 系统命令及其使用详解(大全)
2012-05-25 09:09 918cat cd chmod chown ... -
关于SVN网址
2011-10-23 11:33 0SVN管理规定 http://wenku.baidu.com ... -
zookeeper使用原理探究
2011-03-17 15:59 1250zookeeper介绍zookeeper是一个为分布式应用提供 ... -
squid更新缓存
2011-03-11 14:32 11781.在squid.conf文件里添加 acl Purg ... -
如何理解Squid refresh_pattern
2011-03-10 13:04 1113refresh_pattern的作用:用于确定一个页面进入ca ... -
squid工作原理及安装配置实例指南
2011-03-09 11:32 2487目录: 一.测试安装环 ... -
CentOS 5.5 中 Apache、MySQL、PHP 的安装信息
2011-03-04 15:00 1262CentOS5.5 中已经集成安装 ... -
管理rpm安装包
2011-02-28 15:11 798rpm -qpl xxxxxx.rpm 1.如何安装rpm软件 ...
相关推荐
cas是个好东西,很灵活很好用,但是配置起来很麻烦,网上资料比较零碎。不弄个三五天根本不知道其中的原理,终于在多天的奋斗中配置成功,现在将配置的一些过程记录下来供大家参考。
配置CAS单点登录主要涉及以下几个步骤: 1. **安装CAS服务器**:首先,你需要下载并安装CAS服务器,通常选择最新稳定版本。这包括设置Java环境,获取CAS服务器的WAR文件,并将其部署到Servlet容器(如Tomcat)中。 ...
cas 单点登录解决方案 cas 单点登录解决方案是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。随着企业的发展,业务系统的数量...
**CAS单点登录配置大全** CAS(Central Authentication Service,中央认证服务)是一种广泛使用的开源单点登录(Single Sign-On,SSO)协议。它允许用户通过一个统一的认证系统访问多个应用系统,而无需在每个系统...
CAS多数据库配置单点登录 CAS(Central Authentication Service)是一种流行的单点登录解决方案,能够提供安全、...通过了解CAS单点登录的原理和配置步骤,可以更好地应用CAS单点登录,提高企业应用的安全性和可靠性。
Spring Security 3 与 CAS 单点登录配置 Spring Security 3 是一个基于 Java 的安全框架,提供了灵活的身份验证、授权和访问控制功能。CAS(Central Authentication Service)是一种流行的单点登录协议,允许用户...
### CAS单点登录配置全过程详解 #### 一、前言 CAS(Central Authentication Service)是一种开放源代码的单点登录(Single Sign-On, SSO)协议和服务实现,它允许用户在一个应用登录之后无需再次登录即可访问其他...
### CAS单点登录服务器配置详解 #### 一、CAS单点登录概述 CAS(Central Authentication Service)是一种开放源代码的单点登录协议和服务框架,它为Web应用提供了一种简化了的身份验证流程。通过CAS,用户只需要在...
总结,CAS单点登录配置涉及SSL安全设置、CAS服务器的部署、客户端应用的集成以及证书的管理等多个环节。理解并掌握这些知识点,对于构建安全、便捷的多应用系统环境至关重要。希望本文提供的信息对您在配置CAS单点...
基于Java中CAS的单点登录,有服务端的所有源码,将tomcat目录下的所有资源直接拷到Tomcat服务中间件的webapp目录下,阅读tomcat-webapp中的read.txt文档,查看使用说明,适用于第一次开发CAS单点登录的同学们,简单...
CAS单点登录CAS单点登录CAS单点登录CAS单点登录
总之,CAS单点登录系统提供了统一的身份验证入口,简化了用户登录过程,提高了用户体验。通过理解和实践CAS Server的配置以及客户端的集成,开发者可以有效地在自己的应用环境中实现单点登录功能。
在本“CAS单点登录demo”中,我们将深入探讨CAS的工作原理、配置步骤以及如何实现客户端与服务器端的交互。 1. CAS工作原理: CAS的核心思想是集中式的身份验证,用户只需在一个地方进行登录,之后访问其他已经...
下面将详细介绍CAS单点登录的配置及资源的相关知识点。 1. **CAS基础概念** - CAS服务器:提供认证服务的核心组件,处理用户的登录请求,验证成功后生成票证(Ticket)。 - 服务提供商:需要与CAS服务器交互的Web...
本文在已有的禅道集成CAS单点登录的客户端插件基础上进行的修改,因原有插件在我们的系统上调试无法成功,做了一些定制,环境如下: 1. CAS server 版本:4.0.0 2. 禅道开源版本: 9.6.3 3. 禅道CAS client 插件版本...
CAS单点登录操作文档 CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点: • 开源的企业级单点登录解决...
CAS单点登录的经典配置,以及多数据库的处理方案 CAS单点登录是Single Sign-On(SSO)的一种实现,允许用户一次性进行认证之后,就访问系统中不同的应用;而不需要访问每个应用时,都重新输入密码。CAS单点登录产品...
SSO(Single Sign-On)是单点登录的缩写,是一种网络访问控制方式,它允许用户使用一组凭证(如用户名和密码)登录一次,然后在多个应用系统间自由切换而无需再次验证身份。CAS(Central Authentication Service)是...
2. **配置 CAS 客户端**:Mantis 需要集成 CAS 客户端库来实现单点登录。本文档采用的是 PHP 版本的 CAS 客户端。 ##### 第二步:Mantis 程序修改 1. **添加 CAS 客户端文件夹**: - 在 Mantis 根目录下新建一个...