CAS单点登录完.docx

1、CAS单点登录完CAS单点登录完整教程（上）【转】 一、教程前言1. 教程目的：从头到尾细细道来单点登录服务器及客户端应用的每个步骤 2. 单点登录（SSO）：请看百科解释猛击这里打开 3. 本教程使用的SSO服务器是Yelu大学研发的CAS(Central Authentication Server)，官网：http:/www.jasig.org/cas 4. 本教程环境： o Tomcat6.0.29 o JDK6 o CASServer版本：cas-server-3.4.3.1 o CAS Client版本：cas-client-3.1.12 o 教程撰写日期：2010-11-05 o

2、教程作者：咖啡兔二、创建证书啰嗦几句：证书是单点登录认证系统中很重要的一把钥匙，客户端于服务器的交互安全靠的就是证书；本教程由于是演示所以就自己用JDK自带的keytool工具生成证书；如果以后真正在产品环境中使用肯定要去证书提供商去购买，证书认证一般都是由VeriSign认证，中文官方网站：1. 用JDK自带的keytool工具生成证书：命令：keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/wsriakey无图不给力，有图有真相：用keytool生成证书具体的输入项图片中都有说明，有一点我要解释一下；在输入完密码后提示输入

3、域名是我输入的是，其实这个域名是不存在的，但是我 为了演示所以虚拟了这个域名，技巧在于修改C:WindowsSystem32driversetchosts，添加内容如下：127.0.0.1 这样在访问的时候其实是访问的127.0.0.1也就是本机严重提醒：提示输入域名的时候不能输入IP地址三、导出证书命令：D:keyskeytool -export -file d:/keys/wsria.crt -alias wsria -keystore d:/keys/wsriakey来点颜色：使用keytool导出证书至此导出证书完成，可以分发给应用的JDK使用了，接下来讲解客户端的JVM怎么导入证书四

4、、为客户端的JVM导入证书命令：keytool -import -keystore D:toolsjdk1.6jdk1.6.0_14jrelibsecuritycacerts -file D:/keys/wsria.crt -alias wsria来点颜色瞧瞧：为客户端JVM导入证书特别说明：D:toolsjdk1.6jdk1.6.0_20jrelibsecurity 是jre的目录；密码还是刚刚输入的密码。至此证书的创建、导出、导入到客户端JVM都已完成，下面开始使用证书到Web服务器中，本教程使用tomcat。五、应用证书到Web服务器-Tomcat说是应用起始做的事情就是启用Web服务器

5、(Tomcat)的SSL，也就是HTTPS加密协议，为什么加密我就不用啰嗦了吧准备好一个干净的tomcat，本教程使用的apache-tomcat-6.0.29打开tomcat目录的conf/server.xml文件，开启83和87行的注释代码，并设置keystoreFile、keystorePass修改结果如下：参数说明： keystoreFile：在第一步创建的key存放位置 keystorePass：创建证书时的密码好了，到此Tomcat的SSL启用完成，现在你可以启动tomcat试一下了，例如本教程输入地址：:8443/打开的是：浏览器提示证书错误好的，那么我们点击“继续浏览此网站(不

6、推荐)。 ”，现在进入Tomcat目录了吧，如果是那么你又向成功迈进了一步。OK，接下来要配置CAS服务器了。六、CAS服务器初体验1. CAS服务端下载：http:/www.jasig.org/cas/download 2. 下载完成后将cas-server-3.4.3.1.zip解压，解压cas-server-3.4.3/modules/cas-server-webapp-3.4.3.1.war，改名为cas，然后复制cas目录到你的tomcat/webapp目录下 3. 现在可以访问CAS应用了，当然要使用HTTPS加密协议访问，例如本教程地址：:8443/cas/login ，现在打开

7、了CAS服务器的页面输入admin/admin点击登录（CAS默认的验证规则只要用户名和密码相同就通过）所以如果你看到下面的这张图片你就成功了CAS登录成功你成功了吗？如果没有成功请再检查以上步骤！七、CAS服务器深入配置上面的初体验仅仅是简单的身份验证，实际应用中肯定是要读取数据库的数据，下面我们来进一步配置CAS服务器怎么读取数据库的信息进行身份验证。首先打开tomcat/webapp/cas/WEB-INF/deployerConfigContext.xml文件，配置的地方如下：1. 找到第92行处，注释掉：SimpleTestUsernamePasswordAuthentication

8、Handler这个验证Handler，这个是比较简单的，只是判断用户名和密码相同即可通过，这个肯定不能在实际应用中使用，弃用！ 2. 注释掉92行后在下面添加下面的代码： 3. 4. 5. 6. 在文件的末尾之前加入如下代码： com.mysql.jdbc.Driver jdbc:mysql:/wsriademo root root MD5 7. 复制cas-server-3.4.3.1modulescas-server-support-jdbc-3.4.3.1.jar和mysql驱动jar包到tomcat/webapp/cas/WEB-INF/lib目录 8. 配置解释： o QueryDa

9、tabaseAuthenticationHandler是cas-server-support-jdbc提供的查询接口其中一个，QueryDatabaseAuthenticationHandler是通过配置一个 SQL 语句查出密码，与所给密码匹配 o dataSource我就不用解释了吧，就是使用JDBC查询时的数据源 o sql语句就是查询哪一张表，本例根据t_admin_user表的login_name字段查询密码，CAS会匹配用户输入的密码，如果匹配则通过；下面是t_admin_user的表结构： o CREATE TABLE t_admin_user (o id BIGINT NOT

10、NULL AUTO_INCREMENT,o email VARCHAR(255),o login_name VARCHAR(255) NOT NULL UNIQUE,o name VARCHAR(255),o password VARCHAR(255),o PRIMARY KEY (id) ENGINE=InnoDB;o passwordEncoder，这个就算是自己加的盐巴了，意思很明显就是处理密码的加密，看你的应用中数 据库保存的是明码还是加密过的，比如本例是使用MD5加密的，所以配置了MD5PasswordEncoder这个Handler，cas内置了MD5的 功能所以只需要配置一下就可

11、以了；如果在实际应用中使用的是公司自己的加密算法那么就需要自己写一个Handler来处理密码，实现方式也比较简单，创建 一个类继承org.jasig.cas.authentication.handler.PasswordEncoder然后在encode方法中加密用 户输入的密码然后返回即可八、配置CAS客户端1. 添加cas-client的jar包，有两种方式： o 传统型：下载cas-client，地址：http:/www.ja-sig.org/downloads/cas-clients/，然后解压cas-client-3.1.12.zip，在modules文件夹中有需要的jar包，请根据自

12、己的项目情况选择使用 o Maven型： o o o org.jasig.cas.cliento cas-client-coreo 3.1.122. 设置filter先上配置信息： 3. 4. 5. org.jasig.cas.client.session.SingleSignOutHttpSessionListener6. 7. 8. 9. 10. CAS Single Sign Out Filter11. org.jasig.cas.client.session.SingleSignOutFilter12. 13. 14. CAS Single Sign Out Filter15. /*1

13、6. 17. 18. 19. 20. CASFilter21. org.jasig.cas.client.authentication.AuthenticationFilter22. 23. casServerLoginUrl24. :8443/cas/login25. 26. 27. 28. serverName29. http:/localhost:1000030. 31. 32. 33. CASFilter34. /*35. 36. 37. 38. 39. CAS Validation Filter40. 41. org.jasig.cas.client.validation.Cas20

14、ProxyReceivingTicketValidationFilter42. 43. casServerUrlPrefix44. :8443/cas45. 46. 47. serverName48. http:/localhost:1000049. 50. 51. 52. CAS Validation Filter53. /*54. 55. 56. 60. 61. CAS HttpServletRequest Wrapper Filter62. 63. org.jasig.cas.client.util.HttpServletRequestWrapperFilter64. 65. 66. C

15、AS HttpServletRequest Wrapper Filter67. /*68. 69. 70. 74. 75. CAS Assertion Thread Local Filter76. org.jasig.cas.client.util.AssertionThreadLocalFilter77. 78. 79. CAS Assertion Thread Local Filter80. /*81. 82. 83. 84. 85. AutoSetUserAdapterFilter86. AutoSetUserAdapterFilter87. com.wsria.demo.filter.

16、AutoSetUserAdapterFilter88. 89. 90. AutoSetUserAdapterFilter91. /*92. 每个Filter的功能我就不多说了，都有注释的，关键要解释一下AutoSetUserAdapterFilter的作用和原理.查看完整的web.xml请猛击这里(Google code)93. 利用AutoSetUserAdapterFilter自动根据CAS信息设置Session的用户信息：先看一下这个Filter的源码：好的，如果你是老程序员应该很快就清楚Filter的目的，如果不太懂我再讲解一下；主要是通过CAS的_const_cas_assertio

17、n_获取从CAS服务器登陆的用户名，然后再根据系统内部的用户工具（UserUtil.java）来判断是否已经登录过，如果没有登录根据登录名从数据库查询用户信息，最后使用设置把用户信息设置到当前session中。这样就把用户信息保存到了Sessino中，我们就可以通过UserUtil工具来获取当前登录的用户了，我在实例项目中也加入了此功能演示，请看代码：main.jsp的第44行处 94. 补充一下：如果是为一个老项目添加单点登录功能，那么基本不需要其他的修改，设置好上面的filter即可；当然最好获取用户信息的地方都调用一个工具类，统一管理不容易出错。九、美化CAS服务器界面CAS服务端(ca

18、s-server)的界面只能在测试的时候用一下，真正系统上线肯定需要定制开发自己的页面，就想网易和CSDN的 统一认证平台一样，所有子系统的认证都通过此平台来转接，大家可以根据他们的页面自己定制出适合所属应用或者公司的界面；简单介绍一下吧，复制 casWEB-INFviewjspdefaultui的一些JSP文件，每一个文件的用途文件名已经区分了，自己修改了替换一下就可以了。例如：登录界面：casLoginView.jsp登录成功：casGenericSuccess.jsp登出界面：casLogoutView.jsp十、结束语花了一下午时间终于写完了，总共十项也算完美了。现在看来起始利用CAS实现单点登录其实不难，不要畏惧，更不要排斥！本教程后面的代码部分均来自本博客的wsria-demo项目分支wsria-demo-sso！