搭建CAS服务器,并实现一个简单的单点登录的demo
官网:http://jasig.github.io/cas/
Cas Server下载:http://developer.jasig.org/cas/
Cas Client下载:http://developer.jasig.org/cas-clients/
测试环境:
jdk:java version "1.8.0_60"
tomcat:apache-tomcat-7.0.65
CAS Server:cas-server-4.0.0-release.zip
CAS Client:cas-client-3.1.12-release.zip
首先安装jdk、Tomcat ,这里安装不做介绍。
进入正题:
一、使用java keytool工具为系统生成https证书,并为系统注册
1、生成证书文件
keytool -genkey -alias asq -keyalg RSA -keystore g:/keys/asq
2、导出证书文件
keytool -export -file g:/keys/asq.crt -alias asq -keystore g:/keys/asq
|
生成到指定目录下的两个文件
|
3、将证书导入到客户端JRE中(注意、是导入JRE中),如果security中已经存在cacerts,需要先将其删除。
keytool -import -keystore "C:\Program Files\Java\jdk1.8.0_131\jre\lib\security\cacerts" -file g:/keys/asq.crt -alias asq
|
二、配置服务器端 (单独放到一个Tomcat中 ,端口号8080,并进行如下配置)
1、从http://developer.jasig.org/cas/上下载cas服务器端cas-server-4.0.0-release.zip,在modules目录下找到cas-server-webapp-4.0.0.war,
将其复制到%TOMCAT_HOME%\webapps下,并将名称改为cas.war
|
2、修改%TOMCAT_HOME%\conf\server.xml文件,添加以下代码
| <!--keystoreFile 生成的证书文件 keystorePass 秘钥库密码 --> <Connector SSLEnabled="true" clientAuth="false" keystoreFile="F:/keys/castest" keystorePass="123456" maxThreads="150" port="8443" protocol="org.apache.coyote.http11.Http11Protocol" scheme="https" secure="true" sslProtocol="TLS"/> |
3、启动Tomcat,测试:https://localhost:8443/
|
如果可以正常访问,说明证书安装成功
|
4.访问https://localhost:8443/cas/login,出现以下画面:
|
输入账号和密码
casuser
Mellon
登录之后:
|
此时说明服务器端已经配置成功。可通过https://localhost:8443/cas/logout退出登录
三、配置cas client 客户端(单独一个Tomcat服务器,注意与cas server 的服务器端口号不要冲突,这里默认改成18080)
1、创建maven web项目 cas-client1。(之前已经创建一个,要部署多个client ,所以创建cas-client2)
|
创建出简单的一个web项目,只有一个index.jsp页面 ,以下是client2的目录结构
|
2、在pom.xml文件中添加cas-client 的依赖(可以手动添加,将从http://developer.jasig.org/cas-clients/上下载cas-client-3.1.12-release.zip,
在modules目录下找到cas-client-core-3.1.12.jar、commons-collections-3.2.jar、commons-logging-1.1.jar复制到项目WEB-INF/lib下)
pom.xml添加以下代码:
| <dependency> <groupId>org.jasig.cas</groupId> <version>3.1.1</version> <artifactId>cas-client-core</artifactId> </dependency> |
3、在cas-client2项目的web.xml中配置cas 的过滤器
| <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class> </listener> <!-- 该过滤器用于实现单点登出功能,可选配置。 --> <filter> <filter-name>CAS Single Sign Out Filter</filter-name> <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS Single Sign Out Filter</filter-name> <url-pattern>/CasClient/*</url-pattern> </filter-mapping> <!-- 该过滤器负责用户的认证工作,必须启用它 --> <filter> <filter-name>CASFilter</filter-name> <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class> <init-param> <param-name>casServerLoginUrl</param-name> <!--这里是搭建的 cas server 服务端的IP--> <param-value>https://sso.castest.com:8443/cas/login</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>http://localhost:18080</param-value> </init-param> </filter> <filter-mapping> <filter-name>CASFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 该过滤器负责对Ticket的校验工作,必须启用它 --> <filter> <filter-name>CAS Validation Filter</filter-name> <filter-class> org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class> <init-param> <param-name>casServerUrlPrefix</param-name> <param-value>https://sso.castest.com:8443/cas</param-value><!-- 此处必须为登录url/cas/,带有任何其它路径都会报错,如“https://sso.castest.com:8443/cas/login”,这样也会报错。 --> </init-param> <init-param> <param-name>serverName</param-name> <!--这里注意url 的路径,sso.client1.com 在host文件中配置对应的127.0.0.1 端口号一定要与启动Tomcat服务器的端口一致,一般cas server 服务器单独部署, --> <param-value>http://sso.client1.com:18080</param-value> </init-param> </filter> <filter-mapping> <filter-name>CAS Validation Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 该过滤器负责实现HttpServletRequest请求的包裹, 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 --> <filter> <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> <filter-class> org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 --> <filter> <filter-name>CAS Assertion Thread Local Filter</filter-name> <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS Assertion Thread Local Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- ======================== 单点登录结束 ======================== --> <!-- session超时定义,单位为分钟 --> <session-config> <session-timeout>2</session-timeout> </session-config> |
4、在index.jsp中添加随意标识,用于区分不同的应用程序
|
5、利用maven打包工具,将项目打压成一个war包,在这里注意:jar包的名称就是对应访问的端口号后面的项目名
在这里使用IDEA的maven工具,点击 package生成war包
|
在target目录中生成了我们需要的war包
|
6、将该war包放到cas client Tomcat中的webapps中
|
7、修改Tomcat目录下的conf中server.xml ,将端口号改为18080 ,具体修改如下:
| <Server port="18005" shutdown="SHUTDOWN"> <Connector port="18080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> <Connector port="18009" protocol="AJP/1.3" redirectPort="8443" /> <!---注意redirectPort 重定向端口号,必须跟cas server的端口号一致--> |
8、启动cas-client 的Tomcat 服务器
9、先访问 url1 :localhost:18080/cas-client1/index.jsp
然后访问url2: localhost:18080/cas-client2/index.jsp
当访问url1的时候,成功跳转到cas server服务器上
|
登录验证之后 ,成功跳转到client1的index.jsp页面
|
当访问url1 并且登录成功后 ,然后访问url2 ,就不需要再次验证身份,直接跳转到client2的index.jsp页面
|
一个最简单的单点登录至此全部完成
