单点登录（SSO）解决方案之 CAS 入门案例

单点登录：

　　单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

CAS：

　　CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点：

　　　　1，开源的企业级单点登录解决方案。

　　　　2，CAS Server 为需要独立部署的 Web 应用。

　　　　3，CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

SSO单点登录访问流程主要步骤：

访问服务：SSO客户端发送请求访问应用系统提供的服务资源。
定向认证：SSO客户端会重定向用户请求到SSO服务器。
用户认证：用户身份认证。
发放票据：SSO服务器会产生一个随机的Service Ticket。
验证票据：SSO服务器验证票据Service Ticket的合法性，验证通过后，允许客户端访问服务。
传输用户信息：SSO服务器验证票据通过后，传输用户认证结果信息给客户端。

CAS服务端（CAS Server）部署：

准备工作：

　　cas服务端其实就是一个war包。首先需要从 cas官网下载cas-server，我这里下载并使用的是 cas-server-4.0.0-release.zip。

　　解压后，在modules目录下的cas-server_webapp-4.0.0.war，将其改名为cas.war放入tomcat目录下的webapps下。

　　所以上述为需要准备的东西，cas-server的war包以及tomcat，下面用的tomcat为apache-tomcat-7.0.77

启动tomcat自动解压war包。浏览器输入 http://localhost:8080/cas/login ，可看到登录页面：

这个页面也就是我们做单点登录各个系统共用的登录页面，有点丑，我们后面会用自己的登录页面替换。

这里有个固定的用户名和密码 casuser /Mellon

登录成功后会跳到登录成功的提示页面：

地址栏输入 http://localhost:8080/cas/logout可退出登录。

CAS服务端配置：

如果我们不希望用8080端口访问CAS, 可以修改端口：

1，修改tomcat端口：

打开tomcat 目录 conf\server.xml 找到下面的配置

    <Connector port="8080" protocol="HTTP/1.1"

               connectionTimeout="20000"

               redirectPort="8443" />

这里案例中将端口8080修改为9100。

2，修改CAS配置文件：

修改cas的WEB-INF/cas.properties：

server.name=http://localhost:9100

3，去除https认证

CAS默认使用的是HTTPS协议，如果使用HTTPS协议需要SSL安全证书（需向特定的机构申请和购买）。如果对安全要求不高或是在开发测试阶段，可使用HTTP协议。我们这里讲解通过修改配置，让CAS使用HTTP协议。

3.1，修改cas的WEB-INF/deployerConfigContext.xml

找到以下配置：

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>

修改为（requireSecure属性意思为是否需要安全验证，即HTTPS，false为不采用）：

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" p:requireSecure="false" />

3.2，修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml

找到以下配置：

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"

      p:cookieSecure="true"

      p:cookieMaxAge="-1"

      p:cookieName="CASTGC"

      p:cookiePath="/cas" />

修改为（将cookieSecure改为false , cookieMaxAge 改为3600）：

    参数p:cookieSecure="true"，同理为HTTPS验证相关，TRUE为采用HTTPS验证，FALSE为不采用https验证。

    参数p:cookieMaxAge="-1"，是COOKIE的最大生命周期，-1为无生命周期，即只在当前打开的窗口有效，关闭或重新打开其它窗口，仍会要求验证。可以根据需要修改为大于0的数字，比如3600等，意思是在3600秒内，打开任意窗口，都不需要验证。

修改说明

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"

      p:cookieSecure="false"

      p:cookieMaxAge="3600"

      p:cookieName="CASTGC"

      p:cookiePath="/cas" />

3.3，修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml

找到以下配置：

<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"

p:cookieSecure="true"

p:cookieMaxAge="-1"

p:cookieName="CASPRIVACY"

p:cookiePath="/cas" />

修改为：

<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"

p:cookieSecure="false"

p:cookieMaxAge="3600"

p:cookieName="CASPRIVACY"

p:cookiePath="/cas" />

CAS客户端入门demo：

搭建客户端1：

创建Maven工程（war）casclient_demo1 引入cas客户端依赖并制定tomcat运行端口为9001

pom.xml：

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0"

         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <parent>

        <artifactId>project_demo</artifactId>

        <groupId>com.zy</groupId>

        <version>1.0-SNAPSHOT</version>

    </parent>

    <modelVersion>4.0.0</modelVersion>

    <artifactId>casclient_demo1</artifactId>

    <packaging>war</packaging>

    <dependencies>

        <!-- cas 所需依赖-->

        <dependency>

            <groupId>org.jasig.cas.client</groupId>

            <artifactId>cas-client-core</artifactId>

            <version>3.3.3</version>

        </dependency>

        <dependency>

            <groupId>javax.servlet</groupId>

            <artifactId>servlet-api</artifactId>

            <version>2.5</version>

            <scope>provided</scope>

        </dependency>

    </dependencies>

    <build>

        <plugins>

            <plugin>

                <groupId>org.apache.maven.plugins</groupId>

                <artifactId>maven-compiler-plugin</artifactId>

                <version>2.3.2</version>

                <configuration>

                    <source>1.8</source>

                    <target>1.8</target>

                </configuration>

            </plugin>

            <plugin>

                <groupId>org.apache.tomcat.maven</groupId>

                <artifactId>tomcat7-maven-plugin</artifactId>

                <configuration>

                    <!-- 指定端口 -->

                    <port>9001</port>

                    <!-- 请求路径 -->

                    <path>/</path>

                </configuration>

            </plugin>

        </plugins>

    </build>

</project>

修改web.xml：（后面会把casserver放到一台虚拟机上：192.168.44.31，建议先放到本地，最后再放到其他机器上，因为后面还要修改配置文件，如果放在本地的话可以把注释放开把下面一行注释掉）

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

         xmlns="http://java.sun.com/xml/ns/javaee"

         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"

         version="2.5">

    <display-name>Archetype Created Web Application</display-name>

    <!-- 用于单点退出，该过滤器用于实现单点登出功能，可选配置 -->

    <listener>

        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>

    </listener>

    <!-- 该过滤器用于实现单点登出功能，可选配置。 -->

    <filter>

        <filter-name>CAS Single Sign Out Filter</filter-name>

        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>CAS Single Sign Out Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- 该过滤器负责用户的认证工作，必须启用它 -->

    <filter>

        <filter-name>CASFilter</filter-name>

        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

        <init-param>

            <param-name>casServerLoginUrl</param-name>

            <!--单点登录 cas登录url-->

            <!--<param-value>http://localhost:9100/cas/login</param-value>-->

            <param-value>http://192.168.44.31:9100/cas/login</param-value>

        </init-param>

        <init-param>

            <param-name>serverName</param-name>

            <!--程序的url-->

            <param-value>http://localhost:9001</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>CASFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- 该过滤器负责对Ticket的校验工作，必须启用它 -->

    <filter>

        <filter-name>CAS Validation Filter</filter-name>

        <filter-class>

            org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter

        </filter-class>

        <init-param>

            <param-name>casServerUrlPrefix</param-name>

            <!--<param-value>http://localhost:9100/cas</param-value>-->

            <param-value>http://192.168.44.31:9100/cas</param-value>

        </init-param>

        <init-param>

            <param-name>serverName</param-name>

            <param-value>http://localhost:9001</param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>CAS Validation Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!--获取用户名的两个过滤器-->

    <!-- 该过滤器负责实现HttpServletRequest请求的包裹， 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。 -->

    <filter>

        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

        <filter-class>

            org.jasig.cas.client.util.HttpServletRequestWrapperFilter

        </filter-class>

    </filter>

    <filter-mapping>

        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->

    <filter>

        <filter-name>CAS Assertion Thread Local Filter</filter-name>

        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>CAS Assertion Thread Local Filter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

</web-app>

编写一个index.jsp页面：

<%@ page language="java" contentType="text/html; charset=utf-8"

         pageEncoding="utf-8" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">

<html>

<head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

    <title>1</title>

</head>

<body>

<h1>欢迎访问网站1</h1>

<%=request.getRemoteUser()%>

<br/>

<%--<a href="http://localhost:9100/cas/logout?service=http://www.baidu.com">退出登录</a>--%>

<a href="http://192.168.44.31:9100/cas/logout?service=http://www.baidu.com">退出登录</a>

</body>

</html>

我们希望退出登录后，能自动跳转到某个页面，那如何处理呢？

修改cas系统的配置文件cas-servlet.xml（把false修改成true，允许重定向）

  <bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction"

        p:servicesManager-ref="servicesManager"

        p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/>

我们的index页面上有一个退出登录的功能，而且url中有个service=http://www.baidu.com，这个www.baidu.com就是退出后跳转到的页面

搭建客户端2（casclient_demo2）：参考casclient_demo1，只需要修改其中tomcat端口（9002）以及index页面内容即可。

单点登录测试：

（1）启动cas部署的tomcat

（2）启动客户端工程1和客户端工程2

（3）地址栏输入http://localhost:9001/index.jsp 和http://localhost:9002/index.jsp ，地址均会跳转到CAS登录页

（4）输入用户名和密码后（默认账号密码 casuser /Mellon，后面我们再改造成从数据库取账号密码），页面跳转回9002 ，刷新9001也可以打开index.jsp（不需要登录）。

下一篇：单点登录（SSO）解决方案之 CAS服务端数据源设置及页面改造