CAS3单点登录与SpringSecurity3整合全纪录
最近在做一个单点登录的项目,在网上找了一些资料大都是比较旧的文章。不过还是给了我很多的帮助。在这记录一下我的整合过程。废话少说,直奔主题。
?
单点登录服务端采用的是CAS 3.4.7 ?下载地址:http://www.jasig.org/cas/download
?? ? ? ? ? ?客户端采用的是CAS client java 3.1.12 ?下载地址:https://wiki.jasig.org/display/CASC/CAS+Client+for+Java+3.1
权限控制用Spring Security3.0.5
?
网络环境:
192.168.10.167 : xx网站
192.168.10.173 : 单点登录服务器
?
1、安装JDK,tomcat
这个不说了。
?
2、让tomcat支持SSL
?
?? ? 1)用keytool制作密钥
?? ? ? ?命令行模式(winows)
?? ? ? ?确认系统环境变量里有JAVA_HOME
? ? ? ??>keytool -delete -alias tomcatsso167 -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
>keytool -delete -alias tomcatsso167 -storepass changeit>keytool -list -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit>keytool -genkey -keyalg RSA -alias tomcatsso167 -dname "CN=www-167" -storepass changeit -validity 365 输入<tomcatsso>的主密码 (如果和 keystore 密码相同,按回车): 再次输入新密码:>keytool -export -alias tomcatsso167 -file "%JAVA_HOME%/jre/lib/security/tomcatsso167.crt" -storepass changeit>keytool -import -alias tomcatsso167 -file "%JAVA_HOME%/jre/lib/security/tomcatsso167.crt" -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit?
?? ? ? ?说明:“CN=www-167”是计算机名,如果是多台服务器一定要用计算机名。上面这段是在一台windows服务器上生成SSL需要的证书。 ? ? ? ?
?
?? ? ? ?命令行模式(linux)
?? ? ? ?export ?(查看JAVA_HOME环境变量是否存在)
?? ? ? ?让SSH终端显示中文,修改/etc/sysconfig/i18n文件如下
?? ? ? ?LANG="zh_CN.gb2312"//表明你当前系统的语言环境变量设置?
?? ? ? ?SUPPORTED="zh_CN.gb2312:zh_CN:zh:en_US.UTF-8:en_US:en"//表明系统预置了那些语言支持 ,不在项目中的语言不能正常显示?
?? ? ? ?SYSFONT="latarcyrheb-sun16"//定义控制台终端字体,你文本登录的时候显示的字体就是这个 latarcyrheb-sun16
?
?? ? ? ?将window命令中的%JAVA_HOME% 换成$JAVA_HOME
? ? ? ??>keytool -delete -alias tomcatsso173 -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit
>keytool -delete -alias tomcatsso173 -storepass changeit >keytool -list -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit >keytool -genkey -keyalg RSA -alias tomcatsso173 -dname "CN=www-173" -storepass changeit -validity 365 >keytool -export -alias tomcatsso173 -file "$JAVA_HOME/jre/lib/security/tomcatsso173.crt" -storepass changeit >keytool -import -alias tomcatsso173 -file "$JAVA_HOME/jre/lib/security/tomcatsso173.crt" -keystore "$JAVA_HOME/jre/lib/security/cacerts" -storepass changeit?
?
?? ? ? ?如果client和server不是同一台机器,需要将server的证书(tomcatsso173.crt)导入到client机器中,这样server在登录后才能正确返回。
?? ? ? ?导入命令:keytool -import -alias tomcatsso173 -file "%JAVA_HOME%/jre/lib/security/tomcatsso173.crt" -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit
?? ? ? ? 说明:"CN=www-173"是这台机器的计算机名(hostname)。
?
?? ? 2)设置tomcat配置文件 server.xml
?? ? windows:
?
?
<Connector protocol="org.apache.coyote.http11.Http11Protocol" port="8443" minSpareThreads="5" maxSpareThreads="75" enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="C:/Documents and Settings/Administrator/.keystore" keystorePass="changeit" truststoreFile="D:/Program Files/Java/jdk1.6.0_20/jre/lib/security/cacerts" clientAuth="false" sslProtocol="TLS"/>?
? ? ?linux:带路径的两行修改为以下内容 ? ?
?? ? ? ? ? ? ? keystoreFile="/root/.keystore" keystorePass="changeit"
?? ? ? ? ? ? ? truststoreFile="/usr/java/jdk1.6.0_20/jre/lib/security/cacerts"
?
?? ? 3)启动tomcat,在浏览器输入https://localhost:8443 显示tomcat页面就对了。有的浏览器会出一个安全的提示,继续就可以了。
?
?
3、部署CAS Server
?? 到CAS网站上下载server程序,将cas-server-webapp-<版本号>.war 拷贝到 tomcat的 webapps 目录,并更名为 cas.war。由于前面已配置好 tomcat 的 https 协议,可以重新启动 tomcat,然后访问:https://localhost:8443/cas ,如果能出现正常的 CAS 登录页面,则说明 CAS Server 已经部署成功。
?
?
4、修改CAS Server为jdbc连接
?? ?1)修改cas/WEB-INF/deployerConfigContext.xml
?? ?添加DataSource
?
?
<bean id="casDataSource" /> -->?? ?增加
?? ?<bean ref="casDataSource" />
?? ? ? ?<property name="sql" value="select passwd from v_user where account=?" />
?? ?</bean>
?? ?<!-- sql是查询密码的sql语句,修改成符合你的数据结构的语句 -->
?
?? ?3)添加依赖jar包
?? ? cas-server-support-jdbc-<版本号>.jar、mysql-connector-java-<版本号>-bin.jar、commons-collections-3.2.jar、commons-dbcp-1.2.1.jar、commons-pool-1.3.jar
?
至此单点登录的Server端已经安装配置完成了。在浏览器输入 https://localhost:8443/cas 就可以测试一下了。
?
?
5、纯洁的配置CAS-client。纯洁?就是只用CAS client配置一个标准的web工程,没有其他框架和权限工具,这样有利于理解CAS client的工作原理。如果没兴趣,也可以直接看第7步和Spring Security结合的部分。
?? ?1)新建一个web工程,添加一个jsp页面。
?? ?2)添加依赖jar包
?? ?cas-client-core-3.1.10.jar、commons-logging.jar
?? ?3)web.xml的配置,添加如下配置:
?? ?<!-- 单点登出过滤器 -->
?
?
<filter> <filter-name>CAS Single Sign Out Filter</filter-name> <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS Single Sign Out Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class> </listener> <!-- 认证过滤器,当本地不含登录信息时,跳转到casServerLoginUrl进行身份认证 --> <filter> <filter-name>CAS Authentication Filter</filter-name> <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class> <init-param> <param-name>casServerLoginUrl</param-name> <param-value>https://www-173:8443/cas/login</param-value> <!-- 单点登录服务器的登录URL --> </init-param> <init-param> <param-name>serverName</param-name> <param-value>http://www-167:8080</param-value> <!-- 登陆后返回的服务器地址 --> </init-param> </filter> <filter-mapping> <filter-name>CAS Authentication Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 解析登录服务器返回的认证信息,可选多种protocol --> <filter> <filter-name>CAS Validation Filter</filter-name> <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class> <init-param> <param-name>casServerUrlPrefix</param-name> <param-value>https://www-173:8443/cas</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>http://www-167:8080</param-value> </init-param> <init-param> <param-name>redirectAfterValidation</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>CAS Validation Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 将上面解析的结果装入request --> <filter> <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 在本地线程保存解析结果 --> <filter> <filter-name>CAS Assertion Thread Local Filter</filter-name> <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS Assertion Thread Local Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>??
?? ? 启动client端web服务器,浏览jsp页面,浏览器会跳到单点登录服务器进行登录,登陆后返回client服务。
?
?
?
6、CAS返回信息
?? ? 上面配置的CAS Validation Filter如果是CAS1.0的协议,即Cas10TicketValidationFilter类,就只能返回登录账号。取得方法是:
?? ? request.getRemoteUser();
?? ? 或者
?? ? AttributePrincipal principal = (AttributePrincipal)request.getUserPrincipal();
?? ? principal.getName();
?
?? ? 如果用CAS2.0的协议,即Cas20ProxyReceivingTicketValidationFilter,理论上是可以增加返回属性的。但是如果用cas server3.4.7这个版本,还需要自己添加一些类帮助完成这项工作。SAML1.1协议没有测试。
?
?? ? 实际上单点登录服务器也就只应该返回登录账号,不应该将其他工作交给登录服务器,应该有client服务器去处理。不过实际情况总是出人意料,如果就要返回其他属性,那就改吧。
?
7、Spring Security3.0.5的配置。
?? ? 我的web服务是在spring security的cas例子上做了一些修改。建议到http://s3browse.springsource.com/browse/maven.springframework.org/snapshot/org/springframework/security/?下载spring的例子。
?? ? 1)web.xml
?
?
<context-param> <param-name>contextConfigLocation</param-name> <param-value> /WEB-INF/applicationContext-security.xml </param-value> </context-param> <context-param> <param-name>log4jConfigLocation</param-name> <param-value>/WEB-INF/classes/log4j.properties</param-value> </context-param> <context-param> <param-name>webAppRootKey</param-name> <param-value>cas.root</param-value> </context-param> <filter> <filter-name>CAS Single Sign Out Filter</filter-name> <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> </filter> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>CAS Single Sign Out Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class> </listener> <listener> <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> </listener> <listener> <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class> </listener>??
2)applicationContext-security.xml
?
?
<!-- 浏览权限设定,根据自己的情况修改 --> <sec:http entry-point-ref="casProcessingFilterEntryPoint"> <sec:intercept-url pattern="/secure/extreme/**" access="ROLE_PROJECTLEADER" /> <sec:intercept-url pattern="/secure/**" access="ROLE_USER" /> <sec:logout logout-success-url="/cas-logout.jsp"/> <sec:custom-filter ref="casAuthenticationFilter" after="CAS_FILTER"/> </sec:http> <sec:authentication-manager alias="authenticationManager"> <sec:authentication-provider ref="casAuthenticationProvider"/> </sec:authentication-manager> <bean id="casAuthenticationFilter" ref="authenticationManager"/> <!-- 认证失败返回的页面(非403错误) --> <property name="authenticationFailureHandler"> <bean value="/casfailed.jsp"/> </bean> </property> <!-- 认证成功返回的页面,此处做了修改,这个类是继续之前的操作。默认的类是设置一个固定的页面 --> <property name="authenticationSuccessHandler"> <bean /> </property> </bean> <bean id="casProcessingFilterEntryPoint" value="https://www-167:8443/cas/login"/> <!-- 单点登录服务器登录URL --> <property name="serviceProperties" ref="serviceProperties"/> </bean> <bean id="casAuthenticationProvider" ref="userService"/> <property name="serviceProperties" ref="serviceProperties" /> <property name="ticketValidator"> <bean value="https://www-167:8443/cas" /> </bean> </property> <property name="key" value="an_id_for_this_auth_provider_only"/> </bean> <bean id="serviceProperties" value="http://www-167:8080/castest2/j_spring_cas_security_check"/> <!-- client服务的URL, j_spring_cas_security_check是security自己定义的一个filter--> <property name="sendRenew" value="false"/> </bean> <!-- 权限用jdbc从数据库中读取,数据库结构请看http://static.springsource.org/spring-security/site/docs/3.0.x/reference/appendix-schema.html --> <!-- 这里因为用了Group的权限,需要设置enableGroups,所以这样配。如果不需要Group的权限,也可以简单的如下配置 --> <!-- <sec:jdbc-user-service id="userService" data-source-ref="dataSource" /> --> <!-- 如果有自己的数据结构,可以在下面增加2个属性配置:users-by-username-query,authorities-by-username-query用这两个配置你的sql --> <bean id="userService" ref="dataSource" /> <property name="enableGroups" value="true" /> </bean> <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"> <property name="driverClassName"> <value>com.mysql.jdbc.Driver</value> </property> <property name="url"> <value>jdbc:mysql://ip:3306/database?characterEncoding=UTF-8</value> </property> <property name="username"> <value>root</value> </property> <property name="password"> <value></value> </property> </bean>??
OK,配置完成,开始漫长的开发吧。
?
有帮助的文章和链接:
CAS Server wiki:https://wiki.jasig.org/display/CASUM/Home
CAS Client wiki:https://wiki.jasig.org/display/CASC/Home
Spring Security reference:http://static.springsource.org/spring-security/site/docs/3.0.x/reference/springsecurity.html
Srping Security程序及源码下载:http://static.springsource.org/spring-security/site/downloads.html
其他前辈的文章:http://yangguowen.iteye.com/blog/678498
http://www.iteye.com/topic/40129
http://liuqq.iteye.com/blog/732866
