CAS单点登录配置

无https验证的CAS单点登录配置

 

一、下载开发环境

CAS服务器:cas-server-3.4.10-release.zip

CAS客户端:cas-client-3.2.1-release.zip

 

二、部署CAS服务器

解压cas-server-3.4.10-release.zip将modules目录下的cas-server-webapp-3.4.10.war改名称为cas.war复制到tomcat的webapps下，启动tomcat，访问：http://localhost:8080/cas/login 就可以看到登录界面了：

 

CAS服务端默认采用的是用户名=密码的验证，并且采用的是https验证，需要给tomact配置证书，本文配置没有采用https验证，若采用https验证可参考：

http://www.cnblogs.com/shipengzhi/articles/2628849.html      

http://www.cnblogs.com/dycg/archive/2013/04/04/2999012.html

 

2.1服务器配置

2.1.1 登录验证

本文将原来的简单验证方式，更改为数据库验证用户名密码，具体操作如下所示。

 

1.     添加2个需要的jar包

      复制cas-server-3.4.10-release.zip\cas-server-3.4.10\modules下的cas-server-support-jdbc-3.4.10.jar以及mysql数据库的

mysql-connector-java-x.x.x-bin.jar到cas/WEB-INF/lib目录下

 

2     修改文件：cas\WEB-INF\deployerConfigContext.xml

新增dataSource和MD5PasswordEncoder两个bean如下所示：

 

<bean id="MD5PasswordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"><constructor-arg index="0"><value>MD5</value></constructor-arg></bean> <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">   <property name="driverClassName"><value>com.mysql.jdbc.Driver</value></property>   <property name="url"><value>jdbc:mysql://localhost:3306/test</value></property>   <property name="username"><value>root</value></property>   <property name="password"><value>root</value></property></bean>

上面我采用mysql数据库，若数据库不同，请自行更换数据库链接方式。

 

3.     修改文件：cas\WEB-INF\deployerConfigContext.xml

<bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />

将上面的bean替换（即覆盖）成如下数据库验证bean

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"><property name="dataSource" ref="dataSource"></property><property name="sql" value="select password from user where login_name=?"></property><property name="passwordEncoder" ref="MD5PasswordEncoder"></property></bean>

就完成数据库验证操作了，此处采用MD5加密验证，密码全部为小写字母。

 

4. 数据库表结构

     

2.1.2 用户登出

服务器端退出访问：http://localhost:8080/cas/logout

若希望退出后能返回操作则要配置服务端cas\WEB-INF\cas-servlet.xml

<bean id="logoutController" class="org.jasig.cas.web.LogoutController" ... .../>

增加属性 p:followServiceRedirects="true"

退出链接为：

http://localhost:8080/cas/logout?service=http://localhost:8080/client/index.jsp

 

2.1.3 禁https验证

本文配置是基于http协议的CAS,不采用https验证。

1.     修改文件：cas\WEB-INF\deployerConfigContext.xml

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>

增加参数p:requireSecure="false"，是否需要安全验证，即HTTPS，false为不采用，加上去之后如下：

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"p:httpClient-ref="httpClient" p:requireSecure="false"/>

2.  修改文件：cas\WEB-INF\spring-configuration\ ticketGrantingTicketCookieGenerator.xml

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"p:cookieSecure="true"p:cookieMaxAge="-1"p:cookieName="CASTGC"p:cookiePath="/cas" />

将p:cookieSecure="true"更改为false, TRUE为采用HTTPS验证，FALSE为不采用https验证。修改后如下所示：

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"p:cookieSecure="false"p:cookieMaxAge="-1"p:cookieName="CASTGC"p:cookiePath="/cas" />

参数p:cookieSecure="true"，同理为HTTPS验证相关，TRUE为采用HTTPS验证，FALSE为不采用https验证。

参数p:cookieMaxAge="-1"，简单说是COOKIE的最大生命周期，-1为无生命周期，即只在当前打开的IE窗口有效，IE关闭或重新打开其它窗口，仍会要求验证。可以根据需要修改为大于0的数字，比如3600等，意思是在3600秒内，打开任意IE窗口，都不需要验证。

 

三、CAS客户端配置

 

1.  项目运行tomcat版本：apache-tomcat-6.0.37-windows-x86

2.     解压cas-client-3.2.1-release.zip将modules目录下的如下jar包(图3.1)拷贝到实际工程项目的lib目录下。（注意：原项目如果存在该jar包，请注意删除重复）。

这里最容易出错，自己判断将modules下的所有jar与项目jar包控制冲突即可。

 

 

                                                                  图3.1 CAS客户端需要jar包

 

3. web.xml中配置过滤器

<?xml version="1.0" encoding="UTF-8"?><web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">    <display-name>cas-web-client2</display-name><!-- =============================单点登录配置开始=================================-->  <!-- 用于单点退出，该过滤器用于实现单点登出功能，通知其他应用单点登出-->   <listener>           <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>   </listener>     <!-- 该过滤器用于实现单点登出功能，可选配置。 -->     <filter>           <filter-name>CAS Single Sign Out Filter</filter-name>           <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>   </filter>   <filter-mapping>           <filter-name>CAS Single Sign Out Filter</filter-name>           <url-pattern>/*</url-pattern>   </filter-mapping>        <!-- 该过滤器负责用户的认证工作，必须启用它 -->   <filter>           <filter-name>CASFilter</filter-name>           <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>           <init-param>                   <param-name>casServerLoginUrl</param-name>                   <param-value>http://sso.demo.com:8080/cas/login</param-value>                   <!--这里的server是服务端的IP-->           </init-param>           <init-param>                   <param-name>serverName</param-name>                   <param-value>http://192.168.23.22</param-value>           </init-param>   </filter>   <filter-mapping>           <filter-name>CASFilter</filter-name>           <url-pattern>/*</url-pattern>   </filter-mapping>      <!-- 该过滤器负责对Ticket的校验工作，必须启用它 -->   <filter>           <filter-name>CAS Validation Filter</filter-name>           <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>           <init-param>                   <param-name>casServerUrlPrefix</param-name>                   <param-value>http://sso.demo.com:8080/cas</param-value>           </init-param>           <init-param>                   <param-name>serverName</param-name>                   <param-value>http://192.168.23.22</param-value>           </init-param>   </filter>   <filter-mapping>           <filter-name>CAS Validation Filter</filter-name>           <url-pattern>/*</url-pattern>   </filter-mapping>      <!--           该过滤器负责实现HttpServletRequest请求的包裹，           比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。   -->   <filter>           <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>           <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>   </filter>   <filter-mapping>           <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>           <url-pattern>/*</url-pattern>   </filter-mapping>    <filter>          <filter-name>CAS Assertion Thread Local Filter</filter-name>          <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  </filter>  <filter-mapping>          <filter-name>CAS Assertion Thread Local Filter</filter-name>          <url-pattern>/*</url-pattern>  </filter-mapping>  <!-- =============================单点登录配置结束=================================-->     <welcome-file-list>        <welcome-file>index.jsp</welcome-file>    </welcome-file-list></web-app>

注意：

             1.     上面配置的http://sso.demo.com:8080/cas/login是CAS服务器地址，这里不能用localhost和127.0.0.1地址，只能使用域名，那么我们本地测试则只能修改hosts文件配置域名解析。

                          1）打开c:\windows\system32\drivers\etc\hosts

                          2）新增域名如下(本机ip，自定义域名)。

          

            2.     serverName为当前项目ip地址：加端口号，我当前为80端口，所以空缺。

 

      根据以上步骤：java客户端配置成功，发布到tomcat，复制client1改名为client2,启动tomcat，访问client1，跳转到登录页面，登录成功后成功转向登录成功页面，这时访问client2发现不需要登录即显示登录成功页面，java单点登录成功。

 

 附加项目源码：http://download.csdn.net/detail/zhengyong15984285623/7944043