CAS单点登录HTTP配置

rocye

浏览: 119928 次
性别:
来自: 武汉

最近访客更多访客>>

zhenggm

tank924

gaoxun1937

conqured

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

JAVA开源框架
J2EE

CAS SSO 单点登录

本文目录：

一、概述
二、演示环境
三、部署CAS-Server相关的Tomcat
四、部署CAS-Client相关的Tomcat
五、测试验证SSO

一、概述

最近在研究Sina单点登录，网上有博主分析了它的登录机制，并且还给出了仿Sina的Ajax异步单点登录的思路及代码片断，因为第一次接触CAS，没办法一下子构建自己想要的异步单点登录项目，所以开始在网上不停的查找相关的文章，由于网上大多数的CAS配置都是基于HTTPS的，需要生成证书，导入证书到jre中，但是Sina的单点登录却不是基于HTTPS的，所以此文的目的是对CAS单点登录HTTP配置进行测试。

CAS的官网：https://www.apereo.org/cas

参考文章：http://www.micmiu.com/enterprise-app/sso/sso-cas-sample/

http://blog.csdn.net/ycyk_168/article/details/18668951

二、测试环境

本文测试过程在同一个机器上的（也可以在三台实体机器或者三个的虚拟机上），环境如下：

Windows7 64位
JDK 1.6.0_10
Tomcat 6.0.43
CAS-server-4.0.0、CAS-client-3.3.3

根据演示需求，用修改hosts 文件的方法添加域名最简单方便（这个非常重要），在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三条：

#test CAS SSO Start

127.0.0.1 sso.rocye.com

127.0.0.1 appone.rocye.com

127.0.0.1 apptwo.rocye.com

#test CAS SSO End

sso.rocye.com =>> 对应部署cas server的tomcat，这个虚拟域名还用于证书生成
appone.rocye.com =>> 对应部署app1 的tomcat
apptwo.rocye.com =>> 对应部署app2 的tomcat

三、部署CAS-Server相关的Tomcat

3.1 解压apache-tomcat-6.0.43.zip并重命名后的路径为 e:\sso\tomcat-cas

3.2 下载官网最新版cas-server-4.0.0-release.zip 为例，解压提取cas-server-4.0.0\modules\ cas-server-webapp-4.0.0.war文件，把文件复制到 e:\sso\tomcat-cas\webapps\ 目下，并重命名为：cas.war启动tomcat-cas，得到项目发布文件夹cas

3.3 修改WEB-INFO\deployerConfigContext.xml加入p:requireSecure="false"

<bean id="proxyAuthenticationHandler"

class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"

p:httpClient-ref="httpClient" p:requireSecure="false" />

3.4 修改WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml，修改p:cookieSecure="false"

<bean id="ticketGrantingTicketCookieGenerator"

class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"

p:cookieSecure="false"

p:cookieMaxAge="-1"

p:cookieName="CASTGC"

p:cookiePath="/cas" />

3.5 修改WEB-INF\spring-configuration\warnCookieGenerator.xml，修改p:cookieSecure="false"

<bean id="warnCookieGenerator"

class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"

p:cookieSecure="false"

p:cookieMaxAge="-1"

p:cookieName="CASPRIVACY"

p:cookiePath="/cas" />

3.6 重新启动Tomcat，在地址栏输入: http://sso.rocye.com:8080/cas/login回车：

输入登录名：casuser密码：Mellon 得到登录成功页面：

这里不用管登录页上面的红色提示信息：“Non-secure Connection…”，这只是这个登录页面对于URL不是https开头的一个验证提示信息，继续登录得到“登录成功”表示已经部署成功。

四、部署CAS-Server相关的Tomcat

4.1 解压apache-tomcat-6.0.43.zip并重命名后的路径为：e:\sso\tomcat-app1，修改conf下的配置文件server.xml如下：

…

<Connector port="18080" protocol="HTTP/1.1"

connectionTimeout="20000"

redirectPort="18443" />

4.2 以官网最新版cas-client-3.3.3-release.zip为例，解压提取cas-client-3.3.3\modules\ cas-client-core-3.3.3.jar文件，以tomcat默认自带的 webapps\examples 作为演示的简单web项目，把jar文件复制到 webapps\ examples项目的lib文件夹下，同时还要复制slf4j-api-1.7.1.jar。

4.3 在tomcat-app1\webapps\examples\WEB-INF\web.xml 文件中增加如下内容：

<!-- ======================== 单点登录开始 ======================== --> 
<!-- 用于单点退出，该过滤器用于实现单点登出功能，可选配置--> 
<listener>  
    <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
</listener>  

<!-- 该过滤器用于实现单点登出功能，可选配置。 --> 
<filter>  
    <filter-name>CAS Single Sign Out Filter</filter-name>  
    <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
</filter>  

<filter-mapping>  
    <filter-name>CAS Single Sign Out Filter</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>      

<filter>  
    <filter-name>CAS Filter</filter-name>  
    <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
    <init-param>  
        <param-name>casServerLoginUrl</param-name>  
        <param-value>http://sso.rocye.com:8080/cas/login</param-value>  
    </init-param>  
    <init-param>  
        <param-name>serverName</param-name>  
        <param-value>http://appone.rocye.com:18080</param-value>  
   </init-param>  
</filter>  

<filter-mapping>  
    <filter-name>CAS Filter</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>  

<!-- 该过滤器负责对Ticket的校验工作，必须启用它 --> 
<filter>  
    <filter-name>CAS Validation Filter</filter-name>  
    <filter-class>  
        org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
    <init-param>  
        <param-name>casServerUrlPrefix</param-name>  
        <param-value>http://sso.rocye.com:8080/cas</param-value>  
    </init-param>  
    <init-param>  
        <param-name>serverName</param-name>  
        <param-value>http://appone.rocye.com:18080</param-value>  
    </init-param>  
</filter>  

<filter-mapping>  
    <filter-name>CAS Validation Filter</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>     

<!--  
    该过滤器负责实现HttpServletRequest请求的包裹，  
    比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。  
--> 
<filter>  
    <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
    <filter-class>  
        org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
</filter>  

<filter-mapping>  
    <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>    

<!--  
该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。  
比如AssertionHolder.getAssertion().getPrincipal().getName()。  
--> 
<filter>  
    <filter-name>CAS Assertion Thread Local Filter</filter-name>  
    <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
</filter>  
<filter-mapping>  
    <filter-name>CAS Assertion Thread Local Filter</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>      
<!-- ======================== 单点登录结束 ======================== -->

4.4 按照上面的4.1-4.3步骤得到tomcat-app2，相应端口改成28080…配置文件添加的单点登录配置也要对应修改好。

五、测试验证SSO

预期流程：打开app1 url —-> 跳转cas server 验证 —-> 显示app1的应用 —-> 打开app2 url —-> 显示app2应用 —-> 注销cas server —-> 打开app1/app2 url —-> 重新跳转到cas server 验证。