无https验证的CAS单点登录配置

 

一、下载开发环境

CAS服务器:cas-server-3.4.10-release.zip

CAS客户端:cas-client-3.2.1-release.zip

 

二、部署CAS服务器

解压cas-server-3.4.10-release.zip将modules目录下的cas-server-webapp-3.4.10.war改名称为cas.war复制到tomcat的webapps下，启动tomcat，访问：http://localhost:8080/cas/login 就可以看到登录界面了：

 

CAS服务端默认采用的是用户名=密码的验证，并且采用的是https验证，需要给tomact配置证书，本文配置没有采用https验证，若采用https验证可参考：

http://www.cnblogs.com/shipengzhi/articles/2628849.html      

http://www.cnblogs.com/dycg/archive/2013/04/04/2999012.html

 

2.1服务器配置

2.1.1 登录验证

本文将原来的简单验证方式，更改为数据库验证用户名密码，具体操作如下所示。

 

1.     添加2个需要的jar包

      复制cas-server-3.4.10-release.zip\cas-server-3.4.10\modules下的cas-server-support-jdbc-3.4.10.jar以及mysql数据库的

mysql-connector-java-x.x.x-bin.jar到cas/WEB-INF/lib目录下

 

2     修改文件：cas\WEB-INF\deployerConfigContext.xml

新增dataSource和MD5PasswordEncoder两个bean如下所示：

 

	<bean id="MD5PasswordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder">
		<constructor-arg index="0">
			<value>MD5</value>
		</constructor-arg>
	</bean>

	 <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
		   <property name="driverClassName"><value>com.mysql.jdbc.Driver</value></property>
		   <property name="url"><value>jdbc:mysql://localhost:3306/test</value></property>
		   <property name="username"><value>root</value></property>
		   <property name="password"><value>root</value></property>
	</bean>

上面我采用mysql数据库，若数据库不同，请自行更换数据库链接方式。

 

3.     修改文件：cas\WEB-INF\deployerConfigContext.xml

<bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />

将上面的bean替换（即覆盖）成如下数据库验证bean

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
	<property name="dataSource" ref="dataSource"></property>
	<property name="sql" value="select password from user where login_name=?"></property>
	<property name="passwordEncoder" ref="MD5PasswordEncoder"></property>
</bean>

就完成数据库验证操作了，此处采用MD5加密验证，密码全部为小写字母。

 

4. 数据库表结构

     

2.1.2 用户登出

服务器端退出访问：http://localhost:8080/cas/logout

若希望退出后能返回操作则要配置服务端cas\WEB-INF\cas-servlet.xml

<bean id="logoutController" class="org.jasig.cas.web.LogoutController" ... .../>

增加属性 p:followServiceRedirects="true"

退出链接为：

http://localhost:8080/cas/logout?service=http://localhost:8080/client/index.jsp

 

2.1.3 禁https验证

本文配置是基于http协议的CAS,不采用https验证。

1.     修改文件：cas\WEB-INF\deployerConfigContext.xml

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>

增加参数p:requireSecure="false"，是否需要安全验证，即HTTPS，false为不采用，加上去之后如下：

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
p:httpClient-ref="httpClient" p:requireSecure="false"/>

2.  修改文件：cas\WEB-INF\spring-configuration\ ticketGrantingTicketCookieGenerator.xml

	<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
		p:cookieSecure="true"
		p:cookieMaxAge="-1"
		p:cookieName="CASTGC"
		p:cookiePath="/cas" />

将p:cookieSecure="true"更改为false, TRUE为采用HTTPS验证，FALSE为不采用https验证。修改后如下所示：

	<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
		p:cookieSecure="false"
		p:cookieMaxAge="-1"
		p:cookieName="CASTGC"
		p:cookiePath="/cas" />

参数p:cookieSecure="true"，同理为HTTPS验证相关，TRUE为采用HTTPS验证，FALSE为不采用https验证。

参数p:cookieMaxAge="-1"，简单说是COOKIE的最大生命周期，-1为无生命周期，即只在当前打开的IE窗口有效，IE关闭或重新打开其它窗口，仍会要求验证。可以根据需要修改为大于0的数字，比如3600等，意思是在3600秒内，打开任意IE窗口，都不需要验证。

 

三、CAS客户端配置

 

1.  项目运行tomcat版本：apache-tomcat-6.0.37-windows-x86

2.     解压cas-client-3.2.1-release.zip将modules目录下的如下jar包(图3.1)拷贝到实际工程项目的lib目录下。（注意：原项目如果存在该jar包，请注意删除重复）。

这里最容易出错，自己判断将modules下的所有jar与项目jar包控制冲突即可。

 

 

                                                                  图3.1 CAS客户端需要jar包

 

3. web.xml中配置过滤器

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">
    <display-name>cas-web-client2</display-name>


<!-- =============================单点登录配置开始=================================--> 
 <!-- 用于单点退出，该过滤器用于实现单点登出功能，通知其他应用单点登出-->  
 <listener>  
         <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
 </listener>  
  
 <!-- 该过滤器用于实现单点登出功能，可选配置。 -->  
  
 <filter>  
         <filter-name>CAS Single Sign Out Filter</filter-name>  
         <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
 </filter>  
 <filter-mapping>  
         <filter-name>CAS Single Sign Out Filter</filter-name>  
         <url-pattern>/*</url-pattern>  
 </filter-mapping>  
  
   
 <!-- 该过滤器负责用户的认证工作，必须启用它 -->  
 <filter>  
         <filter-name>CASFilter</filter-name>  
         <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
         <init-param>  
                 <param-name>casServerLoginUrl</param-name>  
                 <param-value>http://sso.demo.com:8080/cas/login</param-value>  
                 <!--这里的server是服务端的IP-->  
         </init-param>  
         <init-param>  
                 <param-name>serverName</param-name>  
                 <param-value>http://192.168.23.22</param-value>  
         </init-param>  
 </filter>  
 <filter-mapping>  
         <filter-name>CASFilter</filter-name>  
         <url-pattern>/*</url-pattern>  
 </filter-mapping>  
   
 <!-- 该过滤器负责对Ticket的校验工作，必须启用它 -->  
 <filter>  
         <filter-name>CAS Validation Filter</filter-name>  
         <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>  
         <init-param>  
                 <param-name>casServerUrlPrefix</param-name>  
                 <param-value>http://sso.demo.com:8080/cas</param-value>  
         </init-param>  
         <init-param>  
                 <param-name>serverName</param-name>  
                 <param-value>http://192.168.23.22</param-value>  
         </init-param>  
 </filter>  
 <filter-mapping>  
         <filter-name>CAS Validation Filter</filter-name>  
         <url-pattern>/*</url-pattern>  
 </filter-mapping>  
   
 <!--  
         该过滤器负责实现HttpServletRequest请求的包裹，  
         比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。  
 -->  
 <filter>  
         <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
         <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>  
 </filter>  
 <filter-mapping>  
         <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>  
         <url-pattern>/*</url-pattern>  
 </filter-mapping>  
  
<filter>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>  
</filter>  
<filter-mapping>  
        <filter-name>CAS Assertion Thread Local Filter</filter-name>  
        <url-pattern>/*</url-pattern>  
</filter-mapping>  
<!-- =============================单点登录配置结束=================================--> 

    <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
</web-app>

注意：

             1.     上面配置的http://sso.demo.com:8080/cas/login是CAS服务器地址，这里不能用localhost和127.0.0.1地址，只能使用域名，那么我们本地测试则只能修改hosts文件配置域名解析。

                          1）打开c:\windows\system32\drivers\etc\hosts

                          2）新增域名如下(本机ip，自定义域名)。

          

            2.     serverName为当前项目ip地址：加端口号，我当前为80端口，所以空缺。

 

      根据以上步骤：java客户端配置成功，发布到tomcat，复制client1改名为client2,启动tomcat，访问client1，跳转到登录页面，登录成功后成功转向登录成功页面，这时访问client2发现不需要登录即显示登录成功页面，java单点登录成功。

 

 附加项目源码：http://download.csdn.net/detail/zhengyong15984285623/7944043