CAS在Tomcat实现SSO

zhangxinba

　　本文以tomcat6.0为例
　　准备工作：下载cas-server-3.1.1-release.zip和cas-client-java-2.1.1.zip。
　　1、CAS Server
　　CAS Server 是一套基于 Java 实现的服务，该服务以一个 Java Web Application 单独部署在与 servlet2.3 兼容的 Web 服务器上，另外，由于 Client 与 CAS Server 之间的交互采用 Https 协议，因此部署 CAS Server 的服务器还需要支持 SSL 协议。当 SSL 配置成功过后，像普通 Web 应用一样将 CAS Server 部署在服务器上就能正常运行了，不过，在真正使用之前，还需要扩展验证用户的接口。
　　2、配置 Tomcat 使用 Https 协议
　　    1)、生成key，在命令行中输入：keytool -genkey -alias mykey -keyalg RSA -keystore c:/tomcat.key
　　            产生别名为mykey的证书放到c:/tomcat.key。
　　           注意：您的名字与姓氏是什么？
　　[Unknown]：  主机名或者IP最好是做了host映射的主机名，测试的时候最好写成localhost，不然通过 localhost访问会报错。
　　    2)、在tomcat的server.xml文件里加入，指定key文件地址。         

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="C:/tomcat.key"
/>
　　3)、重启tomcat，就可以通过https://localhost:8443访问了。
　　3、搭建CAS服务端
　　1)、将下载的cas-server-3.1.1-release.zip解压
    2)、将解压包内的modules文件夹下的cas-server-webapp.war 拷贝到 tomcat的 webapps 目录，并更名为 cas.war
　　可以重新启动 tomcat，然后访问：https://localhost:8443/cas ，如果能出现正常的 CAS 登录页面，则说明 CAS Server 已经部署成功。
　　
4、扩展认证接口
　　CAS Server通过spring进行的配置
　　1)、配置查询用户数据源，打开文件 %CATALINA_HOME%/webapps/cas/WEB-INF/deployerConfigContext.xml，添加一个新的 bean 标签，以mysql为例。
　　拷贝mysql jdbc jar到cas webapp 下。

    <bean id="casDataSource" class="org.apache.commons.dbcp.BasicDataSource">
<property name="driverClassName">
<value>com.mysql.jdbc.Driver</value>
</property>
<property name="url">
<value>jdbc:mysql://localhost:3306/mydb?characterEncoding=utf-8</value>
</property>
<property name="username">
<value>root</value>
</property>
<property name="password">
<value>admin</value>
</property>
</bean>
　　2)、配置查询sql

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
<property name="dataSource" ref="casDataSource" />
<property name="sql"
value="select password from user where lower(username) = lower(?)" />
<property name="passwordEncoder" ref="myPasswordEncoder"/>
</bean>
<bean id="SearchModeSearchDatabaseAuthenticationHandler"
class="org.jasig.cas.adaptors.jdbc.SearchModeSearchDatabaseAuthenticationHandler"
abstract="false" scope="singleton" lazy-init="default"
autowire="default">
<property  name="tableUsers">
<value>user</value>
</property>
<property name="fieldUser">
<value>username</value>
</property>
<property name="fieldPassword">
<value>password</value>
</property>
<property name="dataSource" ref="casDataSource"/>
</bean>
　　3)、配置密码加密策略，这个类需要自己实现。

<bean id="myPasswordEncoder"
class="org.jasig.cas.util.MyPasswordEncoder"/>
　　比如md5。

public class MyPasswordEncoder implements PasswordEncoder {
public String encode(String arg0) {
// TODO Auto-generated method stub
byte[] salt = PasswordUtil.getStaticSalt();
String ciphertext = PasswordUtil.encrypt("admin", arg0, salt);
return ciphertext;
}
}
　　5、搭建CAS客户端
　　1)、配置客户端服务器的HTTPS协议方法同服务端。
  2)、cas-client-java-2.1.1.zip解压并将casclient.jar拷贝到你的项目的lib目录下，/cas-client-java-2.1.1/lib下的所有包copy到WEB-INF/lib目录下。
　　3)、交换秘钥，
　　根据秘钥生成证书 keytool -export -file client.cert -alias mykey -keystore c:/tomcat.key。
　　将证书导入到客户端keytool -import -trustcacerts -file client.cert -keypass changeit -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -alias mykey。
　　6、配置应用的filter
　　新建两个webapp，作为单点登录的web应用，webcas1,webcas2，在各自的web.xml下加入filter，设置filter拦截请求到CAS服务器验证登录信息。

<filter>
<filter-name>CAS Filter</filter-name>
<filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
<param-value>https://casserver:8443/cas/login</param-value>
</init-param>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
<param-value>https://localhost:8443/cas/serviceValidate</param-value>
</init-param>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
<param-value>domain1:8081</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

<filter>
<filter-name>CAS Filter</filter-name>
<filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>
<param-value>https://casserver:8443/cas/login</param-value>
</init-param>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>
<param-value>https://localhost:8443/cas/serviceValidate</param-value>
</init-param>
<init-param>
<param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>
<param-value>domain2:8081</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

// 以下两者都可以获取用户登录信息
session.getAttribute(CASFilter.CAS_FILTER_USER);
session.getAttribute("edu.yale.its.tp.cas.client.filter.user");


7、测试SSO


当访问http://domain1:8080/webcas1的时候，服务器判断没有登录，会跳转到https://localhost:8443/cas/login，进行登录。

再次访问http://domain2:8080/webcas2的时候，就不用登陆了，可以根据session.getAttribute("edu.yale.its.tp.cas.client.filter.user");
获取登录信息。

8、扩展CAS SERVER页面

我们想自己定义登陆界面和错误提示界面。

在部署 CAS 之前，我们可能需要定制一套新的 CAS Server 页面，添加一些个性化的内容。最简单的方法就是拷贝一份 default 或 simple 文件到“ cas/WEB-INF/view/jsp ”目录下，比如命名为 newUI，接下来是实现和修改必要的页面，有 4 个页面是必须的：

casConfirmView.jsp: 当用户选择了“ warn ”时会看到的确认界面
casGenericSuccess.jsp: 在用户成功通过认证而没有目的Service时会看到的界面
casLoginView.jsp: 当需要用户提供认证信息时会出现的界面
casLogoutView.jsp: 当用户结束 CAS 单点登录系统会话时出现的界面
CAS 的页面采用 Spring 框架编写，对于不熟悉 Spring 的使用者，在修改之前需要熟悉该框架。


页面定制完过后，还需要做一些配置从而让 CAS 找到新的页面，拷贝“ cas/WEB-INF/classes/default_views.properties ”，重命名为“ cas/WEB-INF/classes/ newUI_views.properties ”，并修改其中所有的值到相应新页面。最后是更新“ cas/WEB-INF/cas-servlet.xml ”文件中的 viewResolver。