CAS实现单点登录（SSO）经典完整教程

 

一、简介

1、cas是有耶鲁大学研发的单点登录服务器

2、本教材所用环境

• • 
    
• Tomcat7.2
• JDK6
• CAS Service 版本 cas-server-3.4.8-release
• CAS Client版本 cas-client-3.2.1-release
  • 
    

二、生成证书

证书对于实现此单点登录非常之重要，证书是服务器端和客户端安全通信的凭证，本教程只是演示，所有用了

JDK自带的证书生成工具keytool。当然在实际项目中你可以到专门的证书认证中心购买证书。

 ​

1、用JDK自带的keytool生成证书

 ​

1. 1. 
      
2. 命令：keytool -genkey -alias smalllove -keyalg RSA -keystore D:/keys/smallkey
   1. 
      

此命令是生成一个证书，其中 smalllove 是证书别名

此命令的执行如图所示：

 

其中名字与姓氏这一最好写你的 域名，如果在单击测试你可以在C:\Windows\System32\drivers\etc\hosts文件中映射一个虚拟域名，

注意不要写IP。

2、导出证书

 ​

1. 1. 
      
2. 命令：C:\>keytool -export -file d:/keys/small.crt -alias smalllove -keystore d:/keys/smallkey
   1. 
      

如图：

 

密码为上步设置的密码。

3、把证书导入到客户端JDK中。

 ​

1. 1. 
      
2. 命令：keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove
   1. 
      

此命令是把证书导入到JDK中。

如图：

 

到此证书导入成功。

注意：在此步有可能出现如下错误

 ​

1. 1. 
      
2. C:\>keytool -import -keystore C:\Java\jdk1.6.0_21\lib\security\cacerts -file D:/keys/small.crt -alias smalllove
3. 输入keystore密码：
4. keytool错误： java.io.IOException: Keystore was tampered with, or password was incorrect
   1. 
      

次错误的解决方法是，把%JAVA_HOME%\lib\security下的cacerts文件删除掉，在执行。

三、配置服务端

1、 下载CAS的服务端，解压，把解压后的文件中modules文件夹中的cas-server-webapp-3.4.8.war文件拷贝的%TOMCAT_HOME%\webapps

下，并修改文件名为：cas.war。

2、修改%TOMCAT_HOME%\conf\server.xml文件

去掉此文件83到93行之间的注释，修改为：

 ​

1. 1. 
      
2. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
3. maxThreads="150" scheme="https" secure="true"
4. clientAuth="false" sslProtocol="TLS"
5. keystoreFile="D:/keys/smallkey" <!--在2.1中生成的证书的位置-->
6. keystorePass="smalllove"/> <!--在2.1中设置的密码-->
   1. 
      

3、以上配置完成访问http://yourhost:8443/cas出现一下页面

 

点击继续浏览会出现

 

输入用户名admin和密码admin登录则会出现

 

登录成功。

至此，说明服务端配置成功。

四、配置客户端

1、添加客户端到你的项目中

·手动下载下载cas-client， ，然后解压cas-client-3.1.12.zip，在modules文件夹中有需要的jar包， 请根据自己的项目情况选择使用，把相应的jar包放到你项目WEB-INF/lib下。

·使用maven

 ​

1. 1. 
      
2. <!-- cas -->
3. <dependency>
4. <groupId>org.jasig.cas.client</groupId>
5. <artifactId>cas-client-core</artifactId>
6. <version>3.1.12</version>
7. </dependency>
   1. 
      

2、在客户端项目的web.xml配置过滤器

1. <!-- ======================== 单点登录开始 ======================== -->
2. <!-- 用于单点退出，该过滤器用于实现单点登出功能，可选配置 -->
3. <listener>
4. <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
5. </listener>
6. 
   
7. <!-- 该过滤器用于实现单点登出功能，可选配置。 -->
8. <filter>
9. <filter-name>CAS Single Sign Out Filter</filter-name>
10. <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
11. </filter>
12. <filter-mapping>
13. <filter-name>CAS Single Sign Out Filter</filter-name>
14. <url-pattern>/*</url-pattern>
15. </filter-mapping>
16. 
    
17. <!-- 该过滤器负责用户的认证工作，必须启用它 -->
18. <filter>
19. <filter-name>CASFilter</filter-name>
20. <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
21. <init-param>
22. <param-name>casServerLoginUrl</param-name>
23. <param-value>https://www.travel.com:8443/cas/login</param-value>
24. <!--这里的server是服务端的IP -->
25. </init-param>
26. <init-param>
27. <param-name>serverName</param-name>
28. <param-value>http://www.travel.com:8080</param-value><span style="color:#FF0000;"> ①</span>
29. </init-param>
30. </filter>
31. <filter-mapping>
32. <filter-name>CASFilter</filter-name>
33. <url-pattern>/*</url-pattern>
34. </filter-mapping>
35. 
    
36. <!-- 该过滤器负责对Ticket的校验工作，必须启用它 -->
37. <filter>
38. <filter-name>CAS Validation Filter</filter-name>
39. <filter-class>
40. org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
41. <init-param>
42. <param-name>casServerUrlPrefix</param-name>
43. <param-value>https://www.travel.com:8443/cas</param-value>
44. </init-param>
45. <init-param>
46. <param-name>serverName</param-name>
47. <param-value>http://www.travel.com:8080</param-value> <span style="color:#FF0000;">②</span>
48. </init-param>
49. </filter>
50. <filter-mapping>
51. <filter-name>CAS Validation Filter</filter-name>
52. <url-pattern>/*</url-pattern>
53. </filter-mapping>
54. 
    
55. <!-- 该过滤器负责实现HttpServletRequest请求的包裹， 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。 -->
56. <filter>
57. <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
58. <filter-class>
59. org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
60. </filter>
61. <filter-mapping>
62. <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
63. <url-pattern>/*</url-pattern>
64. </filter-mapping>
65. 
    
66. <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
67. <filter>
68. <filter-name>CAS Assertion Thread Local Filter</filter-name>
69. <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
70. </filter>
71. <filter-mapping>
72. <filter-name>CAS Assertion Thread Local Filter</filter-name>
73. <url-pattern>/*</url-pattern>
74. </filter-mapping>
75. 
    
76. <!-- ======================== 单点登录结束 ======================== -->
    1. 
       

五、常见问题说明

错误一、

 

若出现以上错原因是：你在客户端的web.xml中①，②的配置有误。

错误二、

 ​

1. 1. 
      
2. javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:
3. PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:
4. unable to find valid certification path to requested target
   1. 
      

若出现次错误是有与你客户端的证书有问题。重新导入你证书。