CAS单点登录（SSO）服务器配置

来源：互联网发布：u盘安装ubuntu 编辑：程序博客网时间：2024/04/29 17:50

CAS单点登录（SSO）服务器配置

一、单点登录的概念

单点登录（SSO）英文全称Single Sign On，单点登录。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。

简单的 SSO 的体系中，会有下面三种角色： 1 、 User （多个） 2 、 Web 应用（多个） 3 、 SSO 认证中心（1 个）

虽然 SSO 实现模式千奇百怪，但万变不离其宗：

1） Web 应用不处理 User 的登录，否则就是多点登陆了，所有的登录都在 SSO 认证中心进行。

2） SSO 认证中心通过一些方法来告诉 Web 应用当前访问用户究竟是谁。

3） SSO 认证中心和所有的Web 应用建立一种信任关系，SSO 认证中心对用户身份正确性的判断会通过某种方法告之Web 应用，而且判断结果必须被Web 应用信任。

二、单点登录原理

当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份效验，如果通过效验，应该返回给用户一个认证的凭据－－ticket；用户再访问别的应用的时候，就会将这个ticket带上，作为自己认证的凭据，应用系统接受到请求之后会把ticket送到认证系统进行效验，检查ticket的合法性。如果通过效验，用户就可以在不用再次登录的情况下访问应用系统2和应用系统3了。

CAS单点登录原理图：

三、CAS 单点登录配置

1.SSL配置

先在CAS官方上下载cas server，解压后找到在modules文件夹中找到cas-server-webapp-3.4.11.war，将文件名更改为cas.war后置于tomcat应用目录下。

因为CAS的服务器验证需要通过SSL来完成，所以SSL对于CAS来说是必须的,SSL的配置不是本文的重点，我们只是做简要的介绍。

我们执行路径为{JAVA_HOME}/jre/bin（这样的目的是避免{JAVA_HOME}路径的不一致造成干扰），比如到:\Program Files\Java\jdk1.5.0_12\jre\bin目录下，我们假定{TOMCAT_HOME}为D:\apache-tomcat-6.0.16。

1) 生成名称为tomcat的服务器端密钥并保存到密钥库文件server.keystore中

keytool -genkey -alias tomcat -keypass huateng -keyalg RSA -keystore D:\apache-tomcat-6.0.16\server.keystore -storepass huateng

参数说明如下：

ü keystore：密钥库文件，如果没有指定位置的情况下，keystore文件会存在用户的系统默认目录，如：对于Windows XP系统，会生成在系统的C:\Documents and Settings\UserName\目录下，文件名为".keystore"

ü alias：自定义名称，此处取tomcat；

ü genkey：生成密钥

ü keyalg: 密钥算法,主要两种方式：RSA采用MD5加RSA算法加密密钥，DSA 采用SHA1加DSA算法加密密钥，此处采用RSA；

ü keypass：密钥密码

ü storepass:密钥库密码

注意：当系统提示输入“您的名字与姓氏是什么”时，此时应输入本机的域名或者直接输入单点登录服务器的IP，如myhostname，最后就用来测试配置是否成功。域名配置参见：C:\WINDOWS\system32\drivers\etc下的hosts文件(增加一个本地名描述127.0.0.1 myhostname)；如果不想如此麻烦，此处只要简单输入localhost即可。

2) 导出别名为tomcat的密钥的证书server.crt

keytool -export -alias tomcat -file server.crt -keystore D:\apache-tomcat-6.0.16\server.keystore

3) 导入证书server.crt到jvm的信任库（JVM的信任库为cacerts，位置在{JAVA_HOME}/jre/lib/security/cacerts，默认密码为changeit）

keytool -import -alias tomcat -file server.crt -keystore ../lib/security/cacerts

2. 配置Tomcat的SSL项

在上述步骤中生成的证书库server.keystore已经存在{TOMCAT_HOME}目录下面。找到{TOMCAT_HOME}\conf\server.xml文件，解开SSL的注释。

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"

port="8443" minSpareThreads="5" maxSpareThreads="75"

enableLookups="true" disableUploadTimeout="true"

acceptCount="100" maxThreads="200"

scheme="https" secure="true" SSLEnabled="true"

clientAuth="false" sslProtocol="TLS"

keystoreFile="D:/apache-tomcat-6.0.16/server.keystore" storetype="JKS" keystorePass="huateng"/>

此处主要更改keystoreFile和keystorePass属性项，keystoreFile为步骤1）中所生成的文件。

完成后，启动Tomcat,如果能通过能访问系统，说明Tomcat SSL配置成功。

注意：这一步骤的目的使得应用服务器支持SSL，仅仅是单向认证。有些Tomcat版本不识别带空格的路径，因此在配置时请注意 keystoreFile的路径。

ava Web 系统单点登录的实现

在“CAS单点登录（SSO）服务器配置”这篇文章中我介绍了单点登录的概念和原理，以及单点登录服务器的配置方式。文章地址如下：http://hi.baidu.com/nanqiangma/blog/item/fc02dbd97f4d8df738012f2f.html

下面我们将介绍JAVA开发的Web系统的单点登录的实现：

要实现单点登录，首先要有单点登录服务器（SSO_SERVER），假设它已经存在，那么我们要实现单点登录的WEB 系统就是单点登录客户端（SSO_CLIENT），具体的实现过程如下：

1. 在web应用的web.xml文件中加入如下配置：

首先指定CAS的注销过滤器，验证过滤器，单点登录服务器的验证链接，web系统的访问地址等

<!-- CAS:START>

<filter>
<filter-name>CasSingleSignOutFilter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>

<filter>
   <filter-name>CasAuthenticationFilter</filter-name>
   <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

   <init-param>
     <param-name>casServerLoginUrl</param-name>
     <param-value>https://172.16.1.39:8443/cas/login</param-value>
   </init-param>

      <init-param>
          <param-name>serverName</param-name>
          <param-value>http://localhost:8000</param-value>
      </init-param>
   
  <init-param>
   <param-name>casNotFilterUrl</param-name>
   <param-value>/servlet/SynchServlet</param-value>
  </init-param>

      <init-param>
          <param-name>isTest</param-name>
          <param-value>false</param-value>
      </init-param>
</filter>

<filter>
     <filter-name>CasValidationFilter</filter-name>
     <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>

     <init-param>
         <param-name>casServerUrlPrefix</param-name>
         <param-value>https://172.16.1.39:8443/cas</param-value>
     </init-param>

     <init-param>
         <param-name>serverName</param-name>
         <param-value>http://localhost:8000</param-value>
     </init-param>
     <init-param>
            <param-name>useSession</param-name>
            <param-value>true</param-value>
        </init-param>
     <init-param>
         <param-name>redirectAfterValidation</param-name>
         <param-value>true</param-value>
     </init-param>
</filter>
<filter>
  <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
  <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>

再次指定过滤器的拦截方式和监听

<filter-mapping>
    <filter-name>CasSingleSignOutFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
     <filter-name>CasAuthenticationFilter</filter-name>
     <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
     <filter-name>CasValidationFilter</filter-name>
     <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
  <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>

web.xml配置完成后，可重启服务器，访问web系统，测试系统是否被单点登录服务拦截，若被拦截，说明单点登录配置成功。

单点登录配置成功后，还需要做如下工作，因为单点登录验证成功后，会直接跳转到系统原始的登录页面，实际我们需要的是跳转到系统登录页后的主界面，因此我们需要改造系统原始的登录页面，让登录页面在加载时自动提交表单，同时需要将单点登录后的用户名提交到后台，后台判断该用户名是否在系统中存在，若不存在则给予提示，若存在则默认为登录成功，因此具体的实现方式可参照：

改动完成后，再测试一次，如果单点验证后直接跳转到了系统的主页面，则说明单点登录已成功。

0 0