使用cas做sso helloword
因为工作需要接触到sso,据知目前多数sso使用耶鲁的cas实现,且发现使用cas真的是很简单就可以做出一个单点登录系统来,cas还提供丰富的扩展功能,对于扩展功能日后再细细研究,这里只使用cas做一个hello world来记录本人的学习过程,如有幸被高人看到,还望指出弊病,不吝赐教。
在使用cas之前最好对数字证书有所了解,不了解也没有关系,跟着我的步骤也一样可以跑的通。
准备工作
需要的文件:
ü Jdk6
ü Tomcat
ü cas-server-3.3.2
ü cas-client-3.1.9
证书
下面是keytool命令的一些常用方法,先在这里认识一下它们,一会儿会用的到。
使用keytool命令生成密钥库
keytool -genkey -alias tomcat -keyalg RSA -dname "CN=pcma, OU=vanceinfo, O=vanceinfo, L=haidian, S=beijing, C=CN" -keystore c:"keystore5.jks
CN:主机名
OU:组织单位
O:组织
L:地区
S:城市
C:国家
如果需要指定密钥有效期,添加-validity 365即可,单位是天,如:
keytool -genkey -alias tomcat -keyalg RSA -dname "xxxxx" -keystore xxxxx -validity 365
导出证书
keytool -export -file c:/server5.crt -alias tomcat -keystore c:"keystore5.jks
将证书导入到客户端jdk
keytool -import -keystore "D:"Java"jdk1.6.0_14"jre"lib"security"cacerts" -file c:/server5.crt -alias tomcat
从密钥库中删除指定别名的证书
keytool -delete -noprompt -alias tomcat -keystore E:"apache-tomcat-6.0.20_2"conf"keystore2.jks
查看密钥库中的证书
keytool -list -v -keystore c:"keystore5.jks
配置tomcat
使用keytool命令生成密钥库。
配置%tomcat_home%/conf/server.xml使tomcat支持SSL协议,并指定密钥库。
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystorePass="mashiguang"
keystoreFile="${catalina.home}/conf/keystore5.jks"/>
部署cas server
解压缩cas-server-3.3.2-release.zip文件,在modules目录里找到cas-server-webapp-3.3.2.war文件,这就是一个做好了的cas服务端,我们做的sso helloword可以直接使用,只需把cas-server-webapp-3.3.2.war改了个简单点的名字,如cas.war,然后部署到tomcat即可。
浏览器访问https://pcma:8443/cas,如果打开显示的是cas默认的登录页面,则表示服务端已部署完毕。
客户端使用cas client
新建两个web工程,用于模拟单点登录系统中的客户端,并将cas-client-3.1.9"modules里的jar包放到web工程lib目录下,是主要的是cas-client-core-3.1.9.jar文件,把spring2.5也放到lib目录下。
Web.xml文件
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4"
xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee
http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/config/casContext.xml
</param-value>
</context-param>
<listener>
<listener-class>
org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
<!-- 负责用户认证 -->
<filter>
<filter-name>CAS Authentication Filter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<!-- CAS login 服务地址-->
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>https://pcma:8443/cas/login</param-value>
</init-param>
<init-param>
<param-name>renew</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>gateway</param-name>
<param-value>false</param-value>
</init-param>
<!-- 客户端应用服务地址-->
<init-param>
<param-name>serverName</param-name>
<param-value>http://pcma:8081</param-value>
</init-param>
</filter>
<!--负责Ticket校验-->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetBeanName</param-name>
<param-value>cas.validationfilter</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Authentication Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
casContext.xml文件
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE beans PUBLIC "-//SPRING//DTD BEAN//EN"
"http://www.springframework.org/dtd/spring-beans.dtd">
<beans>
<bean id="cas.validationfilter" class="org.jasig.cas.client.validation.Cas10TicketValidationFilter">
<property name="ticketValidator">
<ref bean="cas10TicketValidator"/>
</property>
<property name="useSession">
<value>true</value>
</property>
<!-- 客户端应用服务地址-->
<property name="serverName">
<value>http://pcma:8081</value>
</property>
<property name="redirectAfterValidation">
<value>true</value>
</property>
</bean>
<bean id="cas10TicketValidator" class="org.jasig.cas.client.validation.Cas10TicketValidator">
<!-- 这里参数是cas服务器的地址-->
<constructor-arg index="0" value="https://pcma:8443/cas" />
</bean>
</beans>
新建index.jsp文件
<body>
hello sso<br>
<a href="http://192.168.29.131:8080/sso2">sso2</a>这个地址是另外一台机器上的sso客户端
</body>
上面的web.xml、casContext.xml、index.jsp是两个客户端中的一个,另一个要根据实际情况修改。
最后不要忘记客户端的jdk要使用keytool命令导入证书文件。
测试
启动tomcat,测试器访问http://pcma:8081/sso,出现cas登录页面,输入相同的用户名和密码即可登录,登录成功后页面自动跳转回http://pcma:8081/sso,这时点击页面上的sso2链接,就可以自动登录并跳转到sso2应用。
如果输入用户名密码后提示下面的异常,是因为部署客户端的jdk没有导入证书文件的原因。
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
源码
http://www.blogjava.net/Files/mashiguang/sso.zip