【单点登录】CAS协议

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了【单点登录】CAS协议相关的知识,希望对你有一定的参考价值。

参考技术A CAS协议是专门为CAS开发的一种简单而强大的基于票据的协议。

CAS涉及到一个或多个客户端与一个服务端,客户端嵌入CASified应用程序(称为“CAS服务”),而CAS服务器是一个独立组件:

1.CAS服务器负责对用户进行身份验证并授予对应用程序的访问权

2.CAS客户端保护CAS应用程序,并从CAS服务器检索被授予用户的标识。

关键概念:

1.存储在CASTGC cookie中的 TGT (票据授予票据)表示用户的一个SSO session。

2. ST (服务票证)作为url中的GET参数传输,表示由CAS服务器为特定用户授予认证应用程序的访问权限。

WEB流程:

1.用户访问目标应用程序,通过浏览器发送GET请求到目标应用

2.目标应用检测到用户未认证,则转发请求到CAS服务端,带上查询参数service,值为目标应用地址。

3.CAS服务端检测用户发现没有SSO session 则返回CAS登录页面。

4.用户在CAS登录页面填写登录表单,提交进行认证。

5.认证成功后CAS服务端创建SSO session,并创建TGT票据到Cookie中 (Set-Cookie:CASTGC=TGT-xxxxxx),并重定向到目标应用程序带上查询参数ticket=ST-xxxxx。

6.目标应用发送请求向CAS服务器验证ST票据,验证成功后目标应用创建用户访问session,并把sessionID放入cookie中。

7.用户访问目标应用通过sessionID获取到session,登陆成功。

8.用户访问其他CAS客户端应用,其他CAS客户端重定向请求到CAS服务器,同步骤2。

9.CAS服务器检测到用户TGT这个cookie,获取到SSO session,直接认证成功,并重定向到目标应用程序带上查询参数ticket=ST-xxxxx。

10.同步骤6,7,成功登陆其他CAS客户端应用。

CAS SSO研究一:抛弃Https让Cas以Http协议提供单点登录服务

本文环境:

1、apache-tomcat-7.0.50-windows-x86

2、cas-server-3.4.11

3、cas-client-3.2.1

将cas-server-webapp-3.4.11.war放入tomcat的webapps下,改名ROOT.war,启动tomcat,待自动解压后,进行如下修改:

1、修改WEB-INF\\deployerConfigContext.xml,加入

 p:requireSecure="false"

<property name="authenticationHandlers">
			<list>
				<!--
					| This is the authentication handler that authenticates services by means of callback via SSL, thereby validating
					| a server side SSL certificate.
					+-->
				<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
					p:httpClient-ref="httpClient" p:requireSecure="false"/>
				<!--
					| This is the authentication handler declaration that every CAS deployer will need to change before deploying CAS 
					| into production.  The default SimpleTestUsernamePasswordAuthenticationHandler authenticates UsernamePasswordCredentials
					| where the username equals the password.  You will need to replace this with an AuthenticationHandler that implements your
					| local authentication strategy.  You might accomplish this by coding a new such handler and declaring
					| edu.someschool.its.cas.MySpecialHandler here, or you might use one of the handlers provided in the adaptors modules.
					+-->
				<bean
					class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />
			</list>
		</property>
2、修改WEB-INF\\spring-configuration\\ticketGrantingTicketCookieGenerator.xml,修改p:cookieSecure="false"

	<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
		p:cookieSecure="false"
		p:cookieMaxAge="-1"
		p:cookieName="CASTGC"
		p:cookiePath="/cas" />

3、修改修改WEB-INF\\spring-configuration\\warnCookieGenerator.xml,修改p:cookieSecure="false"

	<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
		p:cookieSecure="false"
		p:cookieMaxAge="-1"
		p:cookieName="CASPRIVACY"
		p:cookiePath="/cas" />

经过以上三步,cas server端修改完毕

客户端操作我习惯进行一下域名/IP映射,修改:C:\\Windows\\System32\\drivers\\etc\\hosts 添加如下映射

127.0.0.1 cas.jkkl1314.com
127.0.0.1 c1.jkkl1314.com
127.0.0.1 c2.jkkl1314.com

在客户端项目中加入cas-client-core-3.2.1.jar、commons-logging.jar,并在web.xml中加入:

<!-- ======================== 单点登录开始 ======================== -->
		<!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置-->
		<listener>
			<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
		</listener>

		<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
		<filter>
			<filter-name>CAS Single Sign Out Filter</filter-name>
			<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
		</filter>
		<filter-mapping>
			<filter-name>CAS Single Sign Out Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>

		<filter>
			<filter-name>CAS Filter</filter-name>
			<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
			<init-param>
				<param-name>casServerLoginUrl</param-name>
				<param-value>http://cas.jkkl1314.com:10000</param-value>
			</init-param>
			<init-param>
				<param-name>serverName</param-name>
				<param-value>http://c1.jkkl1314.com:8080</param-value>
			</init-param>
		</filter>
		<filter-mapping>
			<filter-name>CAS Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>
		<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
		<filter>
			<filter-name>CAS Validation Filter</filter-name>
			<filter-class>
				org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
			<init-param>
				<param-name>casServerUrlPrefix</param-name>
				<param-value>http://cas.jkkl1314.com:10000</param-value>
			</init-param>
			<init-param>
				<param-name>serverName</param-name>
				<param-value>http://c1.jkkl1314.com:8080</param-value>
			</init-param>
		</filter>
		<filter-mapping>
			<filter-name>CAS Validation Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>

		<!--
			该过滤器负责实现HttpServletRequest请求的包裹,
			比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。
		-->
		<filter>
			<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
			<filter-class>
				org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
		</filter>
		<filter-mapping>
			<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>

    <!--
		该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
		比如AssertionHolder.getAssertion().getPrincipal().getName()。
		-->
		<filter>
			<filter-name>CAS Assertion Thread Local Filter</filter-name>
			<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
		</filter>
		<filter-mapping>
			<filter-name>CAS Assertion Thread Local Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>

		<!-- ======================== 单点登录结束 ======================== -->

第二个客户端项目只是修改了一下域名,在web.xml中加入的配置是一样的!运行后即可实现单点登录!

以下两边文章对我帮助很大,特此感谢:

http://www.micmiu.com/enterprise-app/sso/sso-cas-sample/

http://blog.csdn.net/designlife/article/details/2956814



以上是关于【单点登录】CAS协议的主要内容,如果未能解决你的问题,请参考以下文章

Web系统之常用单点登录协议

【单点登录】CAS协议

单点登录CAS使用记:使用maven的overlay实现无侵入的改造CAS

CAS单点登录:开启OAuth2.0协议

CAS单点登录:开启OAuth2.0协议

使用 CAS 在 Tomcat 中实现单点登录