首页 诗词 字典 板报 句子 名言 友答 励志 学校 网站地图
当前位置: 首页 > 教程频道 > 软件管理 > 软件架构设计 >

转:CAS单点登录(SSO)完整课程(2011-11-18更新)

2013-02-24 
转:CAS单点登录(SSO)完整教程(2011-11-18更新)CAS登录成功 你成功了吗?如果没有成功请再检查以上步骤!2011

转:CAS单点登录(SSO)完整教程(2011-11-18更新)

CAS登录成功


你成功了吗?如果没有成功请再检查以上步骤!

2011-11-05更新说明:对于3.4.10版本来官方没有直接提供war包而仅仅提供了源码,因为官方使用maven构建项目,所以需要读者自己构建打包,其实也比较简单,请参考文章最后面的构建说明。

使用Maven构建:

使用cmd或者shell进入cas-server-3.4.10目录,运行:mvn package -pl cas-server-webapp,cas-server-support-jdbc

意思是只需要构建cas-server-webapp和cas-server-support-jdbc,如果需要其他的请根据文件夹名称设置或者 构建全部模块,打包全部模块命令:mvn package 即可。打包过程中会从网络下载需要的jar包,请耐心等待;如果在~/.m2/settings.xml中定义了mirror代理*,那么请把*随便修改 一个字符,否则下载jar包会失败!

打包完成后就可以从cas-server-webapp/target/cas.war复制到你的tomcat/webapp中;或者直接复制 cas-server-webapp/target/cas-server-webapp-3.4.10目录到tomcat/webapp目录下,其他步 骤和上面一样

七、CAS服务器深入配置

上面的初体验仅仅是简单的身份验证,实际应用中肯定是要读取数据库的数据,下面我们来进一步配置CAS服务器怎么读取数据库的信息进行身份验证。
首先打开tomcat/webapp/cas/WEB-INF/deployerConfigContext.xml文件,配置的地方如下:

    找到第92行处,注释掉:SimpleTestUsernamePasswordAuthenticationHandler这个验证Handler,这个是比较简单的,只是判断用户名和密码相同即可通过,这个肯定不能在实际应用中使用,弃用!注释掉92行后在下面添加下面的代码:[html] view plaincopyprint?
    1. <bean?class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">??????<property?name="dataSource"?ref="dataSource"?/>??
    2. ????<property?name="sql"?value="select?password?from?t_admin_user?where?login_name=?"?/>??????<property?name="passwordEncoder"?ref="MD5PasswordEncoder"/>??
    3. </bean>????
    4. 在文件的末尾之前加入如下代码:????
    5. <bean?id="dataSource"?class="org.springframework.jdbc.datasource.DriverManagerDataSource">?????<property?name="driverClassName"><value>com.mysql.jdbc.Driver</value></property>??
    6. ???<property?name="url"><value>jdbc:mysql:///wsriademo</value></property>?????<property?name="username"><value>root</value></property>??
    7. ???<property?name="password"><value>root</value></property>??</bean>??
    8. ???<bean?id="MD5PasswordEncoder"?class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder">????
    9. ????<constructor-arg?index="0">??????????<value>MD5</value>??
    10. ????</constructor-arg>??</bean>??

    复制cas-server-3.4.3.1\modules\cas-server-support-jdbc-3.4.3.1.jar和mysql驱动jar包到tomcat/webapp/cas/WEB-INF/lib目录配置解释:QueryDatabaseAuthenticationHandler是cas-server-support-jdbc提供的查询接口其中一个,QueryDatabaseAuthenticationHandler是通过配置一个 SQL 语句查出密码,与所给密码匹配dataSource我就不用解释了吧,就是使用JDBC查询时的数据源sql语句就是查询哪一张表,本例根据t_admin_user表的login_name字段查询密码,CAS会匹配用户输入的密码,如果匹配则通过;下面是t_admin_user的表结构:[sql] view plaincopyprint?
    1. <span?style="color:#993333;?font-weight:bold">CREATE</span>?<span?style="color:#993333;?font-weight:bold">TABLE</span>?t_admin_user?<span?style="color:#66cc66">(</span>??????id?<span?style="color:#993333;?font-weight:bold">BIGINT</span>?<span?style="color:#993333;?font-weight:bold">NOT</span>?<span?style="color:#993333;?font-weight:bold">NULL</span>?<span?style="color:#993333;?font-weight:bold">AUTO_INCREMENT</span><span?style="color:#66cc66">,</span>??
    2. ????email?<span?style="color:#993333;?font-weight:bold">VARCHAR</span><span?style="color:#66cc66">(</span><span?style="color:#cc66cc">255</span><span?style="color:#66cc66">)</span><span?style="color:#66cc66">,</span>??????login_name?<span?style="color:#993333;?font-weight:bold">VARCHAR</span><span?style="color:#66cc66">(</span><span?style="color:#cc66cc">255</span><span?style="color:#66cc66">)</span>?<span?style="color:#993333;?font-weight:bold">NOT</span>?<span?style="color:#993333;?font-weight:bold">NULL</span>?<span?style="color:#993333;?font-weight:bold">UNIQUE</span><span?style="color:#66cc66">,</span>??
    3. ????name?<span?style="color:#993333;?font-weight:bold">VARCHAR</span><span?style="color:#66cc66">(</span><span?style="color:#cc66cc">255</span><span?style="color:#66cc66">)</span><span?style="color:#66cc66">,</span>??????password?<span?style="color:#993333;?font-weight:bold">VARCHAR</span><span?style="color:#66cc66">(</span><span?style="color:#cc66cc">255</span><span?style="color:#66cc66">)</span><span?style="color:#66cc66">,</span>??
    4. ????<span?style="color:#993333;?font-weight:bold">PRIMARY</span>?<span?style="color:#993333;?font-weight:bold">KEY</span>?<span?style="color:#66cc66">(</span>id<span?style="color:#66cc66">)</span>??<span?style="color:#66cc66">)</span>?ENGINE<span?style="color:#66cc66">=</span>InnoDB;??
    passwordEncoder,这个就算是自己加的盐巴了,意思很明显就是处理密码的加密,看你 的应用中数据库保存的是明码还是加密过的,比如本例是使用MD5加密的,所以配置了MD5PasswordEncoder这个Handler,cas内置 了MD5的功能所以只需要配置一下就可以了;如果在实际应用中使用的是公司自己的加密算法那么就需要自己写一个Handler来处理密码,实现方式也比较 简单,创建一个类继承org.jasig.cas.authentication.handler.PasswordEncoder然后在encode方 法中加密用户输入的密码然后返回即可
八、配置CAS客户端
    添加cas-client的jar包,有两种方式:传统型:下载cas-client,地址:http://www.ja-sig.org/downloads/cas-clients/,然后解压cas-client-3.1.12.zip,在modules文件夹中有需要的jar包,请根据自己的项目情况选择使用

    2011-11-05更新:3.2.1版本(只有源码的情况,包含maven的pom.xml),和用maven打包server的方式一样,在cas-client-3.2.1目录中运行命令:mvn package -pl cas-client-core -DskipTests=true

    然后从target目录中复制cas-client-core-3.2.1.jar到应用的WEB-INF/lib目录中

    Maven型[html] view plaincopyprint?
    1. <!--?cas?-->??<dependency>??
    2. ????<groupId>org.jasig.cas.client</groupId>??????<artifactId>cas-client-core</artifactId>??
    3. ????<version>3.1.12</version>??</dependency>??

    设置filter
    先上配置信息:[html] view plaincopyprint?
    1. <!--?用于单点退出,该过滤器用于实现单点登出功能,可选配置-->??<listener>??
    2. ????<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>??</listener>??
    3. ???<!--?该过滤器用于实现单点登出功能,可选配置。?-->??
    4. <filter>??????<filter-name>CAS?Single?Sign?Out?Filter</filter-name>??
    5. ????<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>??</filter>??
    6. <filter-mapping>??????<filter-name>CAS?Single?Sign?Out?Filter</filter-name>??
    7. ????<url-pattern>/*</url-pattern>??</filter-mapping>??
    8. ???<!--?该过滤器负责用户的认证工作,必须启用它?-->??
    9. <filter>??????<filter-name>CASFilter</filter-name>??
    10. ????<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>??????<init-param>??
    11. ????????<param-name>casServerLoginUrl</param-name>??????????<param-value>https://sso.wsria.com:8443/cas/login</param-value>??
    12. ????????<!--这里的server是服务端的IP-->??????</init-param>??
    13. ????<init-param>??????????<param-name>serverName</param-name>??
    14. ????????<param-value>http://localhost:10000</param-value>??????</init-param>??
    15. </filter>??<filter-mapping>??
    16. ????<filter-name>CASFilter</filter-name>??????<url-pattern>/*</url-pattern>??
    17. </filter-mapping>?????
    18. <!--?该过滤器负责对Ticket的校验工作,必须启用它?-->??<filter>??
    19. ????<filter-name>CAS?Validation?Filter</filter-name>??????<filter-class>??
    20. ????????org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>??????<init-param>??
    21. ????????<param-name>casServerUrlPrefix</param-name>??????????<param-value>https://sso.wsria.com:8443/cas</param-value>??
    22. ????</init-param>??????<init-param>??
    23. ????????<param-name>serverName</param-name>??????????<param-value>http://localhost:10000</param-value>??
    24. ????</init-param>??</filter>??
    25. <filter-mapping>??????<filter-name>CAS?Validation?Filter</filter-name>??
    26. ????<url-pattern>/*</url-pattern>??</filter-mapping>??
    27. ???<!--??
    28. ????该过滤器负责实现HttpServletRequest请求的包裹,??????比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。??
    29. -->??<filter>??
    30. ????<filter-name>CAS?HttpServletRequest?Wrapper?Filter</filter-name>??????<filter-class>??
    31. ????????org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>??</filter>??
    32. <filter-mapping>??????<filter-name>CAS?HttpServletRequest?Wrapper?Filter</filter-name>??
    33. ????<url-pattern>/*</url-pattern>??</filter-mapping>??
    34. ???<!--??
    35. ????该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。??????比如AssertionHolder.getAssertion().getPrincipal().getName()。??
    36. -->??<filter>??
    37. ????<filter-name>CAS?Assertion?Thread?Local?Filter</filter-name>??????<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>??
    38. </filter>??<filter-mapping>??
    39. ????<filter-name>CAS?Assertion?Thread?Local?Filter</filter-name>??????<url-pattern>/*</url-pattern>??
    40. </filter-mapping>?????
    41. <!--?自动根据单点登录的结果设置本系统的用户信息?-->??<filter>??
    42. ????<display-name>AutoSetUserAdapterFilter</display-name>??????<filter-name>AutoSetUserAdapterFilter</filter-name>??
    43. ????<filter-class>com.wsria.demo.filter.AutoSetUserAdapterFilter</filter-class>??</filter>??
    44. <filter-mapping>??????<filter-name>AutoSetUserAdapterFilter</filter-name>??
    45. ????<url-pattern>/*</url-pattern>??</filter-mapping>??
    46. <!--?========================?单点登录结束?========================?-->??

    每个Filter的功能我就不多说了,都有注释的,关键要解释一下AutoSetUserAdapterFilter的作用和原理.
    查看完整的web.xml请猛击这里(Google code)

    利用AutoSetUserAdapterFilter自动根据CAS信息设置Session的用户信息
    先看一下这个Filter的源码:
    好的,如果你是老程序员应该很快就清楚Filter的目的,如果不太懂我再讲解一下;
    主要是通过CAS的_const_cas_assertion_获取从CAS服务器登陆的用户名,然后再根据系统内部的用户工具(UserUtil.java)来判断是否已经登录过,如果没有登录根据登录名从数据库查询用户信息,最后使用设置把用户信息设置到当前session中。
    这样就把用户信息保存到了Sessino中,我们就可以通过UserUtil工具来获取当前登录的用户了,我在实例项目中也加入了此功能演示,请看代码:main.jsp的第44行处补充一下:如果是为一个老项目添加单点登录功能,那么基本不需要其他的修改,设置好上面的filter即可;当然最好获取用户信息的地方都调用一个工具类,统一管理不容易出错。
九、美化CAS服务器界面

CAS服务端(cas-server)的界面只能在测试的时候用一下,真正系统上线肯定需要定制开发自己的页面,就想网易和CSDN的 统一认证平台一样,所有子系统的认证都通过此平台来转接,大家可以根据他们的页面自己定制出适合所属应用或者公司的界面;简单介绍一下吧,复制 cas\WEB-INF\view\jsp\default\ui的一些JSP文件,每一个文件的用途文件名已经区分了,自己修改了替换一下就可以了。
例如:
登录界面:casLoginView.jsp
登录成功:casGenericSuccess.jsp
登出界面:casLogoutView.jsp

十、结束语

花了一下午时间终于写完了,总共十项也算完美了。
现在看来起始利用CAS实现单点登录其实不难,不要畏惧,更不要排斥!
本教程后面的代码部分均来自本博客的wsria-demo项目分支wsria-demo-sso
和本教程相关资料下载

    本教程使用的演示程序,点击这里下载使用keytool生成的key和证书,点击这里下载

到此本教程全部结束,希望看完后对你有帮助,如果有帮助还望继续推荐给其他人,有说明意见或者问题请回复或者IM联系我。

十一、疑难问题

如果遇到了意料之外的问题请参考文章的评论部分,或许能找到问题的原因以及解决办法!

十二、更新记录_2011-11-05

整整一年之后因为需要为客户搭建CAS换季再次更新本文章,不知道碰巧呢碰巧呢还是碰巧呢,反正就是11.5号了……
在这里还要感谢大家对我的支持,要不然这篇教程也不会一直处于本博客的第一位……

不知道从哪个版本开始cas全面使用了maven构建项目,所以需要安装apache maven工具来构建源码,下面step by step讲解如何构建(面向没有接触过maven的童鞋)

下载Maven:打开后下载对应的包,windows用户请下载Binary zip格式的压缩包,linux或者unix用户请下载Binary tar.gz格式的压缩包安装、配置Maven:解压压缩包到一个目录,例如/home/kafeitu/tools/apache/apache-maven-3.0.3,然后设置系统环境变量M3_HOME=/home/kafeitu/tools/apache/apache-maven-3.0.3,在PAT变量中添加路径,windows用户:;%M3_HOME%/bin,Linux用户:在.bashrc或者/et/profile文件中找到PATH,添加:$M3_HOME/bin验证安装:重新打开一个命令窗口(linux用户可以运行:. .bashrc或者. /etc/profile),在cmd或者shell中进入解压的cas server目录后运行:mvn -version后如果看到打印系统信息和maven版本信息后证明配置ok十三、更新记录_2011-11-18

你也可以申请免费的StartSSL CA证书:
StartSSL(公司名:StartCom)也是一家CA机构,它的根证书很久之前就被一些具有开源背景的浏览器支持(Firefox浏览器、谷歌Chrome浏览器、苹果Safari浏览器等)。
申请地址:http://www.startssl.com
申请方法参考:http://www.linuxidc.com/Linux/2011-11/47478.htm

读书人精选
热点排行