单点登录SSO
比如百度账号,我登陆之后,在贴吧,音乐,视屏等都是登陆的状态。
如今在分布式项目中,各个项目所在位置不单单在一个服务器上,那么如何实现在一个服务器上进行登陆,可以同时将此用户信息自动同步到其他服务器上,不用重复登录。任意一个地方登陆,其他新人的
单点登录简称SSO,使用CAS技术实现。
流程:浏览器将用户名给客户端访问请求,重定向发送给服务器,服务器返回查询浏览器端的用户名和密码,到数据库中查,查到后有这人,服务器端会给客户端一个票据(串,非常长,复杂的字符串)放入cookie中,客户端会继续向服务器端请求具体用户,服务器端返回具体数据,浏览器识别。进行登陆。
SSO单点登录访问流程主要有以下步骤:
1. 访问服务:SSO客户端发送请求访问应用系统提供的服务资源。
2. 定向认证:SSO客户端会重定向用户请求到SSO服务器。
3. 用户认证:用户身份认证。
4. 发放票据:SSO服务器会产生一个随机的Service Ticket。
5. 验证票据:SSO服务器验证票据Service Ticket的合法性,验证通过后,允许客户端访问服务。
6. 传输用户信息:SSO服务器验证票据通过后,传输用户认证结果信息给客户端。
CAS服务端部署的其实就是一个war包,因为他需要验证客户端发来的用户名信息,进数据库进行验证,所以这个war包是一个单独的工程,我们将war包放到服务器上的tomcat下,自动解压之后,修改cas服务端中WEB-INF下deployerConfigContext.xml,进行数据原的更改,用来服务端验证用户信息,注意,我们存储数据的数据库的用户是否支持远程连接。
CAS默认使用的是HTTPS协议,如果使用HTTPS协议需要SSL安全证书(需向特定的机构申请和购买) 。如果对安全要求不高或是在开发测试阶段,可使用HTTP协议。我们这里讲解通过修改配置,让CAS使用HTTP协议。
(1)修改cas的WEB-INF/deployerConfigContext.xml
找到下面的配置
|
<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" |
这里需要增加参数p:requireSecure="false",requireSecure属性意思为是否需要安全验证,即HTTPS,false为不采用
(2)修改cas的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml
找到下面配置
|
<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" /> |
参数p:cookieSecure="true",同理为HTTPS验证相关,TRUE为采用HTTPS验证,FALSE为不采用https验证。
参数p:cookieMaxAge="-1",是COOKIE的最大生命周期,-1为无生命周期,即只在当前打开的窗口有效,关闭或重新打开其它窗口,仍会要求验证。可以根据需要修改为大于0的数字,比如3600等,意思是在3600秒内,打开任意窗口,都不需要验证。
我们这里将cookieSecure改为false , cookieMaxAge 改为3600
(3)修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml
找到下面配置
|
<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" |
我们这里将cookieSecure改为false , cookieMaxAge 改为3600
需要的依赖
<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.3.3</version>
</dependency>
CAS和安全框架整合是CAS进行信息验证,然后交给安全框架进行角色授权。
