采取CAS原理构建单点登录

CAS 原理和协议

从 结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CASServer。图1 是 CAS 最基本的协议过程：

图 1. CAS 基础协议
<!--[if gte vml 1]><v:shapetype id="_x0000_t75" coordsize="21600,21600" o:spt="75" o:preferrelative="t" path="m@4@5l@4@11@9@11@9@5xe" filled="f" stroked="f"> <v:stroke joinstyle="miter" /> <v:formulas> <v:f eqn="if lineDrawn pixelLineWidth 0" /> <v:f eqn="sum @0 1 0" /> <v:f eqn="sum 0 0 @1" /> <v:f eqn="prod @2 1 2" /> <v:f eqn="prod @3 21600 pixelWidth" /> <v:f eqn="prod @3 21600 pixelHeight" /> <v:f eqn="sum @0 0 1" /> <v:f eqn="prod @6 1 2" /> <v:f eqn="prod @7 21600 pixelWidth" /> <v:f eqn="sum @8 21600 0" /> <v:f eqn="prod @7 21600 pixelHeight" /> <v:f eqn="sum @10 21600 0" /> </v:formulas> <v:path o:extrusionok="f" gradientshapeok="t" o:connecttype="rect" /> <o:lock v:ext="edit" aspectratio="t" /></v:shapetype><v:shape id="_x0000_i1025" type="#_x0000_t75" alt="采取CAS原理构建单点登录" style='width:350.25pt;height:255.75pt'> <v:imagedata src="file:///C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\msohtmlclip1\01\clip_image001.jpg" o:href="http://www.ibm.com/developerworks/cn/opensource/os-cn-cas/images/image001.jpg" /></v:shape><![endif]--><!--[if !vml]--><!--[endif]-->

CAS Client 与受保护的客户端应用部署在一起，以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求，CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket，如果没有，则说明当前用户尚未登录，于是将请求重定向到指定好的 CAS Server 登录地址，并传递 Service （也就是要访问的目的资源地址），以便登录成功过后转回该地址。用户在第 3 步中输入认证信息，如果登录成功，CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket，并缓存以待将来验证，之后系统自动重定向到 Service所在地址，并为客户端浏览器设置一个 Ticket Granted Cookie（TGC），CAS Client 在拿到Service 和新产生的 Ticket 过后，在第 5，6 步中与 CAS Server 进行身份合适，以确保 Service Ticket 的合法性。

在该协议中，所有与 CAS 的交互均采用 SSL 协议，确保，ST 和 TGC 的安全性。协议工作过程中会有 2 次重定向的过程，但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。

另外，CAS 协议中还提供了 Proxy （代理）模式，以适应更加高级、复杂的应用场景，具体介绍可以参考 CAS 官方网站上的相关文档。

首先下载CAS server和client

到CAS 官方网站下载 CAS Server 和 Client，地址分别为：

http://www.jasig.org/cas/download

http://www.ja-sig.org/downloads/cas-clients

我下载的是cas-client-java-3.0.0.zip和cas-server-3.3.1-release.tar.gz这两个包。

由于CAS认证是基于SSL协议的，所以我们先安装SSL证书。（注，下面命令中黄色的字体代表用户自己设置的值）

$JAVA_HOME/bin/keytool -genkey -alias tomcat－keyalg RSA -keystore "/usr/local/tomcat/server.keystore"

接下来会让你设置密码，然后注意填写姓名的时候填写localhost,这是考虑到后面连接数据库。然后后面随便写。

然后导出证书

$JAVA_HOME/bin/keytool -export -alias tomcat-file server.cert -keystore "/usr/local/tomcat/server.keystore"

然后导入到我们的授权证书中

$JAVA_HOME/bin/keytool -import -trustcacerts -file server.cert -keystore $JAVA_HOME/jre/lib/security/cacerts （注，这时输入默认的密码：changeit）

这时证书就安装完毕了。

下面修改配置文件，首先修改tomcat/conf/server.xml,找到下面这段关于SSL的语句

<Connector port="8443"maxHttpHeaderSize="8192"
??????????????maxThreads="150" minSpareThreads="25"maxSpareThreads="75"
??????????????enableLookups="false" disableUploadTimeout="true"
??????????????acceptCount="100" scheme="https" secure="true"
??????????????clientAuth="false" sslProtocol="TLS" />

把这段话的注释去掉，并在里面加上keystoreFile="/usr/local/tomcat/server.keystore" keystorePass="123456"这两句，这是定义你自己的设置的keystore路径和密钥的密码。如果你使用默认的,（keystore 放在tomcat下，keystorePass为changeit）那么不用加这两句话。

接下来解压下载的CAS－server文件包cas-server-3.3.1-release.tar.gz，把其中的moudules中的cas-server-webapp-3.3.1.war复制到tomcat/webapps目录下，并且改名为cas.war，这个文件会自动解压生成个cas的目录

，到这里，由于已经布置好了SSL协议，可以检验一下SSL是否成功了，重启tomcat，然后打开浏览器输入https://localhost:8443/cas

如果能出现正常的 CAS 登录页面，则说明 CAS Server 已经部署成功。

下面是关键的一步：扩展认证接口

CAS 提供扩展认证的核心是 AuthenticationHandler 接口，这里要看详细的介绍还是去http://www.ibm.com/developerworks/cn/opensource/os-cn-cas/index.html，或者CAS的官网www.jasig.org/cas。

我使用的是通过JDBC认证

这里要连接数据库，通过将用户输入的用户名和密码，和数据库中的数据对照，如果数据库中存在，那么通过，如果没有，那么认证失败，用户不能登录。

具体做法如下：

首先在数据库中添加一个用户casserver,密码是casserver。然后添加database cas,添加个一个tables app_user,并赋值给他。

mysql> create databases cas;

mysql> use cas;

mysql> create table app_user (usernamevarchar(30) not null default'', password varchar(45) not null default'',primary key (username));
mysql> insert into app_user (username,password) values('test01','psw01'),('test02','psw02');
找 到刚才解压到tomcat/webapps的那个cas包，修改在cas/WEB-INF/目录下的deployerConfigContext.xml 文件。找到这段话<beansxmlns="http://www.springframework.org/schema/beans"
??????xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
??????xmlns:p="http://www.springframework.org/schema/p"
??????xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans-2.0.xsd">
由于我使用的是mysql数据库，因此在后面添加
<bean id="dataSource" />
????? <property name="dataSource"ref="dataSource" />
</bean>
接下来，要实现功能，还得要添加一些必要的模块驱动，如mysql.jar等，总共七个文件，我是全部放进去了：
spring-jdbc.jar?????????????????????commons-dbcp-1.2.2.jar
mysql.jar???????????????????????????commons-collections-3.2.1.jar
mysql-connector-java-3.1.11-bin.jar cas-server-support-jdbc-3.3.1.jar
commons-pool-1.3.jar
将他们全都拷贝到tomcat/webapps/cas/WEB-INF/lib。
到这里就OK了，这时再重启tomcat，打开https://localhost:8443/cas
会发现如果输入的用户名和密码和数据库中的不一致，认证就不能通过。这表明数据库认证已经起作用了。

注：以上命令在写此文时均再次执行过，都顺利通过。

二、部署CAS客户端

<!--???一、安装SSL

这里拿客户端机器B来做，首先客户端自己也要安装SSL协议。步骤和服务器版本的一样。在tomcat/conf/server.xml中，找到

?

<Connector port="8443"maxHttpHeaderSize="8192"
??????????????maxThreads="150" minSpareThreads="25"maxSpareThreads="75"
??????????????enableLookups="false" disableUploadTimeout="true"
??????????????acceptCount="100" scheme="https" secure="true"
??????????????clientAuth="false" sslProtocol="TLS" />

把这段话的注释去掉，并在里面加上keystoreFile="/usr/local/tomcat/client.keystore"keystorePass="changeit",这个看你自己高兴设置密码了。

接下来，依次：

#$JAVA_HOME/bin/keytool -genkey -alias client -keyalg RSA-keystore /usr/local/tomcat/client.keystore

#$JAVA_HOME/bin/keytool -export -alias client -fileclient.cert -keystore /usr/local/tocmat/client.keystore

#$JAVA_HOME/bin/keytool -import -alias client -fileclient.cert -keystore $JAVA_HOME/jre/lib/security/cacerts

?

-->

今天又做了一次，上面的步骤是可以省略的。。。，部署客户端可以直接从下面开始。。。

二、安装服务器证书

现在我们要和服务器端取得信任关系：

下载http://blogs.sun.com/andreas/entry/no_more_unable_to_find的 InstallCert.java，这个文件下来后是源代码，还需执行“javac InstallCert.java”，生成InsallCert.class，InstallCert$SavingTrustManager.class这两个文件，然后运行“ java InstallCert compA:8443 ”命令，并且在接下来出现的询问中输入 1。这样，就将 A服务器添加到了 B 的 trust store 中。如果多个客户端应用分别部署在不同机器上，那么每个机器都需要与 CAS Server 所在机器建立信任关系。

其实，可以这样，首先建立一个空文白件，名字叫做InstallCert.java，然后复制blogs.sun.com/andreas/resource/InstallCert.java里面的内容放进去，执行“javac InstallCert.java”，生成InsallCert.class，InstallCert$SavingTrustManager.class这两个文件，然后运行“ java InstallCert compA:8443 ”命令，并且在接下来出现的询问中输入 1。

那么进行上面这个步骤以后，会有一个jsscacerts的文件，记住：移动这个文件到$JAVA_HOME/jre/lib/security中，也就是和cacerts这个文件在同一个目录。不然会报错哦，我的另一篇文章就是记录这种错误的，里面有错误代码，有兴趣的可以对照一下。

三、编辑客户端配置文件

以tomcat/webapps/jsp-examples这个为例子吧，下载一个cas-client-2..11.zip包，解压后将cas-client-2.0.11/java/lib目录下的casclient.jar这个包复制到jsp-examples中WEB-INF/lib 下，并编辑jsp-examples/WEB-INF/web.xml文件，添加以下代码

<filter>
??? <filter-name>CAS Filter</filter-name>
??? <filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
??? <init-param>
?????<param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
?????<param-value>https://domainA:8443/cas/login</param-value>
??? </init-param>
??? <init-param>
????? <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
?????<param-value>https://domainA:8443/cas/serviceValidate</param-value>
??? </init-param>
??? <init-param>
?????<param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
????? <param-value>domainB:8080</param-value>
??? </init-param>
</filter>
<filter-mapping>
??? <filter-name>CAS Filter</filter-name>
??? <url-pattern>/protected-pattern/*</url-pattern>
</filter-mapping>
这里面domainA,domainB域名或者IP都可以，不过很多人建议域名，还没有测试这两者的差距，因为没时间再弄个域名服务器。

四、测试效果

现在打开http://domainB:8080/jsp-examples，浏览器会弹出安全提示，接受后即转到 CAS 的登录页面，填入前面你在数据库里面设定的用户名和密码，好了，页面就转到jsp-examples/index.html了。其实就是你访问这个页面中间去SERVER上验证了一下，又回头了。

?