1.开源单点登录系统 CAS 入门 1.1 什么是单点登录单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 我们目前的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的 session 是无法解决的,我们需要使用相关的单点登录技术来解决。 1.1 什么是 CAS CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点: 【1】开源的企业级单点登录解决方案。 【2】CAS Server 为需要独立部署的 Web 应用。 【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。 从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署, 主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。下图是 CAS 最基本的协议过程: SSO 单点登录访问流程主要有以下步骤:

  1. 访问服务:SSO 客户端发送请求访问应用系统提供的服务资源。
  2. 定向认证:SSO 客户端会重定向用户请求到 SSO 服务器。
  3. 用户认证:用户身份认证。
  4. 发放票据:SSO 服务器会产生一个随机的 Service Ticket。
  5. 验证票据:SSO 服务器验证票据 Service Ticket 的合法性,验证通过后,允许客户端访问服务。
  6. 传输用户信息:SSO 服务器验证票据通过后,传输用户认证结果信息给客户端。 1.1 CAS 服务端部署 Cas 服务端其实就是一个 war 包。 在资源\cas\source\cas-server-4.0.0-release\cas-server-4.0.0\modules 目录下 cas-server-webapp-4.0.0.war 将其改名为 cas.war 放入 tomcat 目录下的 webapps 下。启动 tomcat 自动解压 war 包。浏览器输入 http://localhost:8080/cas/login ,可看到登录页面 不要嫌弃这个页面丑,我们后期可以再提升它的颜值。暂时把注意力放在功能实现上。这里有个固定的用户名和密码 casuser /Mellon 登录成功后会跳到登录成功的提示页面 1.1 CAS 服务端配置 1.1.1 端口修改 如果我们不希望用 8080 端口访问 CAS, 可以修改端口 (1)修改 TOMCAT 的端口 打开 tomcat 目录 conf\server.xml 找到下面的配置 将端口 8080,改为 9100 (2)修改 CAS 配置文件 修改 cas 的 WEB-INF/cas.properties

server.name=http://localhost:9100 1.1.1 去除 https 认证 CAS 默认使用的是 HTTPS 协议,如果使用 HTTPS 协议需要 SSL 安全证书(需向特定的机构申请和购买) 。如果对安全要求不高或是在开发测试阶段,可使用 HTTP 协议。我们这里讲解通过修改配置,让 CAS 使用 HTTP 协议。 (1)修改 cas 的 WEB-INF/deployerConfigContext.xml 找到下面的配置

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationH andler"
p:httpClient-ref="httpClient"/>

这里需要增加参数 p:requireSecure="false",requireSecure 属性意思为是否需要安全验证,即 HTTPS,false 为不采用 (2)修改 cas 的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml 找到下面配置

<bean
id="ticketGrantingTicketCookieGenerator"
class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
 
p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASTGC"
p:cookiePath="/cas" />

参数 p:cookieSecure="true",同理为 HTTPS 验证相关,TRUE 为采用 HTTPS 验证,FALSE 为不采用 https 验证。 参数 p:cookieMaxAge="-1",是 COOKIE 的最大生命周期,-1 为无生命周期,即只在当前打开的窗口有效,关闭或重新打开其它窗口,仍会要求验证。可以根据需要修改为大于 0 的数字, 比如 3600 等,意思是在 3600 秒内,打开任意窗口,都不需要验证。 我们这里将 cookieSecure 改为 false , cookieMaxAge 改 为 3600 (3)修改 cas 的 WEB-INF/spring-configuration/warnCookieGenerator.xml 找到下面配置

<bean    id="warnCookieGenerator"
class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator" p:cookieSecure="true"
p:cookieMaxAge="-1" p:cookieName="CASPRIVACY" p:cookiePath="/cas" />

我们这里将 cookieSecure 改为 false , cookieMaxAge 改 为 3600