SSO之CAS单点登录实例演示

一、概述

此文的目的就是为了帮助初步接触SSO和CAS 的人员提供一个入门指南,一步一步演示如何实现基于CAS的单点登录。

CAS的官网:http://www.jasig.org/cas

二、演示环境

本文演示过程在同一个机器上的(也可以在三台实体机器或者三个的虚拟机上),环境如下:

  • windows7 64位,主机名称:michael-pc
  • JDK 1.6.0_18
  • Tomcat 6.0.29
  • CAS-server-3.4.11、CAS-client-3.2.1

根据演示需求,
用修改hosts 文件的方法添加域名最简单方便(这个非常重要),在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三条

127.0.0.1    demo.micmiu.com
127.0.0.1    app1.micmiu.com
127.0.0.1    app2.micmiu.com
  • demo.micmiu.com  =>> 对应部署cas server的tomcat,这个虚拟域名还用于证书生成
  • app1.micmiu.com  =>>  对应部署app1 的tomcat
  • app2.micmiu.com   =>> 对应部署app2 的tomcat

三、JDK安装配置

这个详细过程就不在描述,如果是免安装版的,确保环境变量配置正确。

本机环境变量:JAVA_HOME=D:\jdk,如果看到以下信息则表示安装成功:

四、安全证书配置

有关keytool工具的详细运用见:http://www.micmiu.com/lang/java/keytool-start-guide/

4.1. 生成证书:

1 keytool -genkey -alias ssodemo -keyalg RSA -keysize 1024 -keypass michaelpwd -validity 365 -keystore g:\sso\ssodemo.keystore -storepass michaelpwd

ps:

  • 截图中需要输入的姓名和上面hosts文件中配置的一致;
  • keypass 和 storepass 两个密码要一致,否则下面tomcat 配置https 访问失败;

4.2.导出证书:

1 keytool -export -alias ssodemo -keystore g:\sso\ssodemo.keystore -fileg:\sso\ssodemo.crt -storepass michaelpwd

4.3.客户端导入证书:

1 keytool -import -keystore %JAVA_HOME%\jre\lib\security\cacerts -fileg:\sso\ssodemo.crt -alias ssodemo

ps:该命令中输入的密码和上面输入的不是同一个密码;如果是多台机器演示,需要在每一台客户端导入该证书。

五、部署CAS-Server相关的Tomcat

5.1. 配置HTTPS

解压apache-tomcat-6.0.29.tar.gz并重命名后的路径为 G:\sso\tomcat-cas,在文件 conf/server.xml文件找到:

1 <!--
2     <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
3                maxThreads="150" scheme="https" secure="true"
4                clientAuth="false" sslProtocol="TLS" />
5     -->

修改成如下:

1 <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
2                maxThreads="150" scheme="https" secure="true"
3                keystoreFile="g:/sso/ssodemo.keystore" keystorePass="michaelpwd"
4                clientAuth="false" sslProtocol="TLS" URIEncoding="UTF-8"

参数说明:

  • keystoreFile 就是4.1中创建证书的路径
  • keystorePass 就是4.1中创建证书的密码

5.2. 验证HTTPS配置
其他按照默认配置不作修改,双击%TOMCAT_HOME%\bin\startup.bat 启动tomcat-cas 验证https访问配置:


如果看到上述界面表示https 访问配置成功。

5.3 部署CAS-Server
CAS-Server 下载地址:http://www.jasig.org/cas/download
本文以cas-server-3.4.11-release.zip 为例,解压提取cas-server-3.4.11/modules/cas-server-webapp-3.4.11.war文件,把改文件copy到 G:\sso\tomcat-cas\webapps\ 目下,并重命名为:cas.war.
启动tomcat-cas,在浏览器地址栏输入:https://demo.micmiu.com:8443/cas/login ,回车

CAS-server的默认验证规则:只要用户名和密码相同就认证通过(仅仅用于测试,生成环境需要根据实际情况修改),输入admin/admin 点击登录,就可以看到登录成功的页面:

看到上述页面表示CAS-Server已经部署成功。

六、部署CAS-Client相关的Tomcat

6.1Cas-Client 下载

CAS-Client 下载地址:http://downloads.jasig.org/cas-clients/

以cas-client-3.2.1-release.zip 为例,解压提取cas-client-3.2.1/modules/cas-client-core-3.2.1.jar

借以tomcat默认自带的 webapps\examples 作为演示的简单web项目

6.2 安装配置 tomcat-app1

解压apache-tomcat-6.0.29.tar.gz并重命名后的路径为 G:\sso\tomcat-app1,修改tomcat的启动端口,在文件conf/server.xml文件找到如下内容:

1 <Connector port="8080" protocol="HTTP/1.1"
2                connectionTimeout="20000"
3                redirectPort="8443" />
4 <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

修改成如下:

1 <Connector port="18080" protocol="HTTP/1.1"
2                connectionTimeout="20000"
3                redirectPort="18443" />
4 <Connector port="18009" protocol="AJP/1.3" redirectPort="18443" />

启动tomcat-app1,浏览器输入 http://app1.micmiu.com:18080/examples/servlets/ 回车:

看到上述界面表示tomcat-app1的基本安装配置已经成功。

接下来复制 client的lib包cas-client-core-3.2.1.jar到 tomcat-app1\webapps\examples\WEB-INF\lib\目录下, 在tomcat-app1\webapps\examples\WEB-INF\web.xml 文件中增加如下内容:

1 <!-- ======================== 单点登录开始 ======================== -->
2         <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
3         <listener>
4             <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
5         </listener>
6  
7         <!-- 该过滤器用于实现单点登出功能,可选配置。 -->
8         <filter>
9             <filter-name>CAS Single Sign Out Filter</filter-name>
10             <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
11         </filter>
12         <filter-mapping>
13             <filter-name>CAS Single Sign Out Filter</filter-name>
14             <url-pattern>/*</url-pattern>
15         </filter-mapping>
16  
17         <filter>
18             <filter-name>CAS Filter</filter-name>
19             <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
20             <init-param>
21                 <param-name>casServerLoginUrl</param-name>
22                 <param-value>https://demo.micmiu.com:8443/cas/login</param-value>
23             </init-param>
24             <init-param>
25                 <param-name>serverName</param-name>
26                 <param-value>http://app1.micmiu.com:18080</param-value>
27             </init-param>
28         </filter>
29         <filter-mapping>
30             <filter-name>CAS Filter</filter-name>
31             <url-pattern>/*</url-pattern>
32         </filter-mapping>
33         <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
34         <filter>
35             <filter-name>CAS Validation Filter</filter-name>
36             <filter-class>
37                 org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
38             <init-param>
39                 <param-name>casServerUrlPrefix</param-name>
40                 <param-value>https://demo.micmiu.com:8443/cas</param-value>
41             </init-param>
42             <init-param>
43                 <param-name>serverName</param-name>
44                 <param-value>http://app1.micmiu.com:18080</param-value>
45             </init-param>
46         </filter>
47         <filter-mapping>
48             <filter-name>CAS Validation Filter</filter-name>
49             <url-pattern>/*</url-pattern>
50         </filter-mapping>
51  
52         <!--
53             该过滤器负责实现HttpServletRequest请求的包裹,
54             比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
55         -->
56         <filter>
57             <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
58             <filter-class>
59                 org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
60         </filter>
61         <filter-mapping>
62             <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
63             <url-pattern>/*</url-pattern>
64         </filter-mapping>
65  
66     <!--
67         该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
68         比如AssertionHolder.getAssertion().getPrincipal().getName()。
69         -->
70         <filter>
71             <filter-name>CAS Assertion Thread Local Filter</filter-name>
72             <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
73         </filter>
74         <filter-mapping>
75             <filter-name>CAS Assertion Thread Local Filter</filter-name>
76             <url-pattern>/*</url-pattern>
77         </filter-mapping>
78  
79         <!-- ======================== 单点登录结束 ======================== -->

有关cas-client的web.xml修改的详细说明见官网介绍:

https://wiki.jasig.org/display/CASC/Configuring+the+JA-SIG+CAS+Client+for+Java+in+the+web.xml

6.3 安装配置 tomcat-app2

解压apache-tomcat-6.0.29.tar.gz并重命名后的路径为 G:\sso\tomcat-app2,修改tomcat的启动端口,在文件 conf/server.xml文件找到如下内容:

1 <Connector port="8080" protocol="HTTP/1.1"
2                connectionTimeout="20000"
3                redirectPort="8443" />
4 <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

修改成如下:

1 <Connector port="28080" protocol="HTTP/1.1"
2                connectionTimeout="20000"
3                redirectPort="28443" />
4 <Connector port="28009" protocol="AJP/1.3" redirectPort="28443" />

启动tomcat-app2,浏览器输入 http://app2.micmiu.com:28080/examples/servlets/ 回车,按照上述6.2中的方法验证是否成功。

同6.2中的复制 client的lib包cas-client-core-3.2.1.jar到 tomcat-app2\webapps\examples\WEB-INF\lib\目录下, 在tomcat-app2\webapps\examples\WEB-INF\web.xml 文件中增加如下内容:

1 <!-- ======================== 单点登录开始 ======================== -->
2         <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
3         <listener>
4             <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
5         </listener>
6  
7         <!-- 该过滤器用于实现单点登出功能,可选配置。 -->
8         <filter>
9             <filter-name>CAS Single Sign Out Filter</filter-name>
10             <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
11         </filter>
12         <filter-mapping>
13             <filter-name>CAS Single Sign Out Filter</filter-name>
14             <url-pattern>/*</url-pattern>
15         </filter-mapping>
16  
17         <filter>
18             <filter-name>CAS Filter</filter-name>
19             <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
20             <init-param>
21                 <param-name>casServerLoginUrl</param-name>
22                 <param-value>https://demo.micmiu.com:8443/cas/login</param-value>
23             </init-param>
24             <init-param>
25                 <param-name>serverName</param-name>
26                 <param-value>http://app2.micmiu.com:28080</param-value>
27             </init-param>
28         </filter>
29         <filter-mapping>
30             <filter-name>CAS Filter</filter-name>
31             <url-pattern>/*</url-pattern>
32         </filter-mapping>
33         <!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
34         <filter>
35             <filter-name>CAS Validation Filter</filter-name>
36             <filter-class>
37                 org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
38             <init-param>
39                 <param-name>casServerUrlPrefix</param-name>
40                 <param-value>https://demo.micmiu.com:8443/cas</param-value>
41             </init-param>
42             <init-param>
43                 <param-name>serverName</param-name>
44                 <param-value>http://app2.micmiu.com:28080</param-value>
45             </init-param>
46         </filter>
47         <filter-mapping>
48             <filter-name>CAS Validation Filter</filter-name>
49             <url-pattern>/*</url-pattern>
50         </filter-mapping>
51  
52         <!--
53             该过滤器负责实现HttpServletRequest请求的包裹,
54             比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
55         -->
56         <filter>
57             <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
58             <filter-class>
59                 org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
60         </filter>
61         <filter-mapping>
62             <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
63             <url-pattern>/*</url-pattern>
64         </filter-mapping>
65  
66         <!--
67             该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
68             比如AssertionHolder.getAssertion().getPrincipal().getName()。
69         -->
70         <filter>
71             <filter-name>CAS Assertion Thread Local Filter</filter-name>
72             <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
73         </filter>
74         <filter-mapping>
75             <filter-name>CAS Assertion Thread Local Filter</filter-name>
76             <url-pattern>/*</url-pattern>
77         </filter-mapping>
78  
79         <!-- ======================== 单点登录结束 ======================== -->

七、 测试验证SSO

启动之前配置好的三个tomcat分别为:tomcat-cas、tomcat-app1、tomcat-app2.

7.1  基本的测试

预期流程: 打开app1 url —-> 跳转cas server 验证 —-> 显示app1的应用 —-> 打开app2 url —-> 显示app2应用 —-> 注销cas server —-> 打开app1/app2 url —-> 重新跳转到cas server 验证.

打开浏览器地址栏中输入:http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample,回车:

跳转到验证页面:

验证通过后显示如下:

此时访问app2就不再需要验证:

地址栏中输入:https://demo.micmiu.com:8443/cas/logout,回车显示:

上述表示 认证注销成功,此时如果再访问 : http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample 或 http://app2.micmiu.com:28080/examples/servlets/servlet/HelloWorldExample 需要重新进行认证。

7.2  获取登录用户的信息

修改HelloWorldExample.java,重新编译替换webapps\examples\WEB-INF\classes\HelloWorldExample.class文件,修改后的HelloWorldExample.java代码如下:

1 import java.io.*;
2 import java.util.*;
3 import java.util.Map.Entry;
4  
5 import javax.servlet.*;
6 import javax.servlet.http.*;
7  
8 import org.jasig.cas.client.authentication.AttributePrincipal;
9 import org.jasig.cas.client.util.AbstractCasFilter;
10 import org.jasig.cas.client.validation.Assertion;
11  
12 /**
13  * The simplest possible servlet.
14  *
15  * @author James Duncan Davidson
16  */
17  
18 public class HelloWorldExample extends HttpServlet {
19  
20     public void doGet(HttpServletRequest request, HttpServletResponse response)
21             throws IOException, ServletException {
22         ResourceBundle rb = ResourceBundle.getBundle("LocalStrings", request
23                 .getLocale());
24         response.setContentType("text/html");
25         PrintWriter out = response.getWriter();
26  
27         out.println("<html>");
28         out.println("<head>");
29  
30         String title = rb.getString("helloworld.title");
31  
32         out.println("<title>" + title + "</title>");
33         out.println("</head>");
34         out.println("<body bgcolor=\"white\">");
35  
36         out.println("<a href=\"../helloworld.html\">");
37         out.println("<img src=\"../images/code.gif\" height=24 "
38                 + "width=24 align=right border=0 alt=\"view code\"></a>");
39         out.println("<a href=\"../index.html\">");
40         out.println("<img src=\"../images/return.gif\" height=24 "
41                 + "width=24 align=right border=0 alt=\"return\"></a>");
42         out.println("<h1>" + title + "</h1>");
43  
44         Assertion assertion = (Assertion) request.getSession().getAttribute(
45                 AbstractCasFilter.CONST_CAS_ASSERTION);
46  
47         if (null != assertion) {
48             out.println(" Log | ValidFromDate =:"
49                     + assertion.getValidFromDate() + "<br>");
50             out.println(" Log | ValidUntilDate =:"
51                     + assertion.getValidUntilDate() + "<br>");
52             Map<Object, Object> attMap = assertion.getAttributes();
53             out.println(" Log | getAttributes Map size = " + attMap.size()
54                     + "<br>");
55             for (Entry<Object, Object> entry : attMap.entrySet()) {
56                 out.println("     | " + entry.getKey() + "=:"
57                         + entry.getValue() + "<br>");
58             }
59  
60         }
61         AttributePrincipal principal = assertion.getPrincipal();
62  
63         // AttributePrincipal principal = (AttributePrincipal) request
64         // .getUserPrincipal();
65  
66         String username = null;
67         out.print(" Log | UserName:");
68         if (null != principal) {
69             username = principal.getName();
70             out.println("<span style=‘color:red;‘>" + username + "</span><br>");
71         }
72  
73         out.println("</body>");
74         out.println("</html>");
75     }
76 }

再进行上述测试显示结果如下:

http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample :

http://app2.micmiu.com:28080/examples/servlets/servlet/HelloWorldExample

从上述页面可以看到通过认证的用户名。

到此已经全部完成了CAS单点登录实例演示。

时间: 2024-08-04 22:21:55

SSO之CAS单点登录实例演示的相关文章

SSO之CAS单点登录详细搭建教程

本教程是我个人编写,花费几个小时的时间,给需要学习的人员学习使用,希望能帮助到你们. [环境说明]:本文演示过程在同一个机器上的(也可以在三台实体机器或者三个的虚拟机上),环境如下: windows7 64位 jdk1.7.0_51 apache-tomcat-7.0.57-windows-x64 cas-server-webapp-4.0.0.war.cas-client-core-3.2.1.jar.commons-logging.jar 确保本地jdk环境已经搭建好 [软件说明]:文档中涉

基于CAS的SSO(单点登录)实例

第一步 部署CAS-Server(服务端) 1.从CAS官方网站(http://developer.jasig.org/cas/)下载最新版本的CAS-Server(当前最新版本cas-server-4.0.0-release.zip),将其解压,找到modules/cas-server-webapp-3.5.2.war,复制到本地tomcat下的webapps下,并重命名为cas.war(可以是其他名称),启动tomcat,在webapps下生成了名为cas的web项目. 2.CAS默认使用h

SSO 基于CAS实现单点登录 实例解析(二)

本文目录: 概述 演示环境 部署CAS-Server相关的Tomcat 部署CAS-Client相关的Tomcat 测试验证SSO 第一: 本demo在一个机器上实现(三个虚拟主机),来看SSO单点登录实例(我们可以布到多个机器上使用都是同一个道理的),一个服务器主机,和两个客户端虚拟主机 <span style="font-size:18px;"># 127.0.0.1 localhost # ::1 localhost 127.0.0.1 localhost 127.0

CAS单点登录(SSO)完整教程

转:http://blog.csdn.net/frinder/article/details/7969925 CAS单点登录(SSO)完整教程(2012-02-01更新) 一.教程说明 前言 教程目的:从头到尾细细道来单点登录服务器及客户端应用的每个步骤 单点登录(SSO):请看百科解释猛击这里打开 本教程使用的SSO服务器是Yelu大学研发的CAS(Central Authentication Server), 官网:http://www.jasig.org/cas 本教程环境: Tomcat

cas 单点登录(SSO)实验之二: cas-client

cas 单点登录(SSO)实验之二: cas-client 參考文章: http://my.oschina.net/indestiny/blog/200768#comments http://wenku.baidu.com/view/0bcc0d01e87101f69e319595.html 接上一篇文章: cas 单点登录(SSO)实验之中的一个: jasig cas-server 安装 本文说明怎样写一个web服务(cas-study).使用cas-server提供的验证服务.当用户訪问这个

cas 单点登录(SSO)之一: jasig cas-server 安装

cas 单点登录(SSO)实验之一: jasig cas-server 安装 参考文章: http://my.oschina.net/indestiny/blog/200768#comments http://wenku.baidu.com/view/0bcc0d01e87101f69e319595.html SSO原理不多重复,需要理解的就一点,一个复杂系统需要一个唯一的验证服务, 这就是CAS(Central Authentication Service) Server.系统内的各种服务(W

CAS单点登录之mysql数据库用户验证及常见问题

前面已经介绍了CAS服务器的搭建,详情见:搭建CAS单点登录服务器.然而前面只是简单地介绍了服务器的搭建,其验证方式是原始的配置文件的方式,这显然不能满足日常的需求.下面介绍下通过mysql数据库认证的方式. 一.CAS认证之mysql数据库认证 1.在mysql中新建一个cas数据库并创建user表 CREATE DATABASE /*!32312 IF NOT EXISTS*/`cas` /*!40100 DEFAULT CHARACTER SET gbk */; USE `cas`; /*

CAS单点登录配置

无https验证的CAS单点登录配置 一.下载开发环境 CAS服务器:cas-server-3.4.10-release.zip CAS客户端:cas-client-3.2.1-release.zip 二.部署CAS服务器 解压cas-server-3.4.10-release.zip将modules目录下的cas-server-webapp-3.4.10.war改名称为cas.war复制到tomcat的webapps下,启动tomcat,访问:http://localhost:8080/cas

CAS 单点登录

首先,何谓单点登录.单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一.SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统. cas登录系统中有两个角色,一个是cas server 就是提供登录服务,登录页面,client 校验的一个web应用. 一个是cas client,使用过滤器,在客户应用呗访问的时候会先判断该系统是否登录,无登录则直接重定向到cas server服务上. 在CAS中MVC的控制主要是使用的