CAS 实现单点登录（SSO）简单实例demo（二）

本文目的很明确，并不是要逐步讲清楚每一步的操作，具体的步骤网上有很多，那么整理本文的目的只是要梳理一下自己的知识点，帮助自己加深理解。

小知识点积累：

域名地址的修改：

根据演示需求，用修改hosts文件的方法添加域名最简单方便（这个非常重要），在文件 C:\Windows\System32\drivers\etc\hosts 文件中添加三条

127.0.0.1 demo.micmiu.com
127.0.0.1 app1.micmiu.com
127.0.0.1 app2.micmiu.com

•demo.micmiu.com =>> 对应部署cas server的tomcat，这个虚拟域名还用于证书生成
•app1.micmiu.com =>> 对应部署app1 的tomcat
•app2.micmiu.com =>> 对应部署app2 的tomcat
注：可选配置

端口号的修改：

修改tomcat的启动端口（共计5处），在文件conf/server.xml文件找到如下内容：

<Server port="8005" shutdown="SHUTDOWN">
<Connector port="8080" protocol="HTTP/1.1" 
   connectionTimeout="20000" 
   redirectPort="8443" />

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

修改成：

<Server port="18005" shutdown="SHUTDOWN">
<Connector port="18080" protocol="HTTP/1.1" 
   connectionTimeout="20000" 
   redirectPort="18443" />

<Connector port="18009" protocol="AJP/1.3" redirectPort="18443" />

注：由于需要在同一个机器上演示，故需要修改端口号

安全证书配置：

CAS默认使用的是HTTPS协议，如果对安全要求不高，可使用HTTP协议。

修改deployerConfigContext.xml (cas/WEB-INF)增加参数p:requireSecure="false"，是否需要安全验证，即HTTPS，false为不采用。

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" 
p:requireSecure="false" />

修改 ticketGrantingTicketCookieGenerator.xml(cas/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml) 中ticketGrantingTicketCookieGenerator p:cookieSecure 属性修改为 false。

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
p:cookieSecure="false" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" />

这里以Http为例进行演示

步入正题：

配置服务端

CAS-Server下载地址：http://www.jasig.org/cas/download

我们以cas-server-3.4.11-release.zip为例，解压提取cas-server-3.4.11/modules/cas-server-webapp-3.4.11.war文件，把该文件copy到G:\sso\tomcat-cas\webapps\ 目录下，并重命名为：cas.war.
启动tomcat-cas，在浏览器地址栏输入：https://demo.micmiu.com:8080/cas/login，回车



CAS-server的默认验证规则：只要用户名和密码相同就认证通过（仅仅用于测试，生成环境需要根据实际情况修改），输入admin/admin点击登录，就可以看到登录成功的页面：

输入用户名admin和密码admin登录则会出现





看到上述页面表示CAS-Server已经部署成功。

配置客户端

Cas-Client 下载

CAS-Client下载地址：http://downloads.jasig.org/cas-clients/
以cas-client-3.2.1-release.zip为例，解压提取cas-client-3.2.1/modules/cas-client-core-3.2.1.jar
借以tomcat默认自带的webapps\examples 作为演示的简单web项目

启动tomcat-app1，浏览器输入http://app1.micmiu.com:18080/examples/servlets/回车：

注：端口号修改

<Connector port="18080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="18443" />
<Connector port="18009" protocol="AJP/1.3" redirectPort="18443" />

看到上述界面表示tomcat-app1的基本安装配置已经成功。

接下来复制client的lib包cas-client-core-3.2.1.jar和commons-logging-1.1.jar到tomcat-app1\webapps\examples\WEB-INF\lib\目录下，在tomcat-app1\webapps\examples\WEB-INF\web.xml文件中增加如下内容：

<!-- 用于单点退出，该过滤器用于实现单点登出功能，可选配置-->
		<listener>
			<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
		</listener>
 
		<!-- 该过滤器用于实现单点登出功能，可选配置。 -->
		<filter>
			<filter-name>CAS Single Sign Out Filter</filter-name>
			<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
		</filter>
		<filter-mapping>
			<filter-name>CAS Single Sign Out Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>
             <!-- 该过滤器负责用户的认证工作，必须启用它 -->
		<filter>
			<filter-name>CAS Filter</filter-name>
			<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
			<init-param>
				<param-name>casServerLoginUrl</param-name>
				<param-value>https://demo.micmiu.com:8080/cas/login</param-value>
				<!--这里的server是服务端的IP -->
				
			</init-param>
			<init-param>
				<param-name>serverName</param-name>
				<param-value>http://app1.micmiu.com:18080</param-value>
			</init-param>
		</filter>
		<filter-mapping>
			<filter-name>CAS Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>
		<!-- 该过滤器负责对Ticket的校验工作，必须启用它 -->
		<filter>
			<filter-name>CAS Validation Filter</filter-name>
			<filter-class>
				org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
			<init-param>
				<param-name>casServerUrlPrefix</param-name>
				<param-value>https://demo.micmiu.com:8080/cas</param-value>
			</init-param>
			<init-param>
				<param-name>serverName</param-name>
				<param-value>http://app1.micmiu.com:18080</param-value>
			</init-param>
		</filter>
		<filter-mapping>
			<filter-name>CAS Validation Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>
 
		<!--
			该过滤器负责实现HttpServletRequest请求的包裹，
			比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。
		-->
		<filter>
			<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
			<filter-class>
				org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
		</filter>
		<filter-mapping>
			<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>
 
             <!--
		该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
		比如AssertionHolder.getAssertion().getPrincipal().getName()。
		-->
		<filter>
			<filter-name>CAS Assertion Thread Local Filter</filter-name>
			<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
		</filter>
		<filter-mapping>
			<filter-name>CAS Assertion Thread Local Filter</filter-name>
			<url-pattern>/*</url-pattern>
		</filter-mapping>
 
		<!-- ======================== 单点登录结束 ======================== -->

第二个examples类似配置。

启动之前配置好的三个tomcat分别为：tomcat-cas、tomcat-app1、tomcat-app2.

基本的测试

预期流程： 打开app1 url —->跳转cas server 验证 —-> 显示app1的应用 —-> 打开app2 url —-> 显示app2应用 —-> 注销casserver —-> 打开app1/app2 url —-> 重新跳转到cas server 验证.

打开浏览器地址栏中输入：http://app1.micmiu.com:18080/examples/servlets/servlet/HelloWorldExample，回车：





验证通过后显示如下：

总结：

以上只是简单介绍了CAS的配置过程，也是对第一篇CAS原理的一个补充学习，希望通过原理的学习和结合实践的配置能让我们对CAS的理解更加深刻。

详细的学习教程：
http://www.micmiu.com/enterprise-app/sso/sso-cas-sample/#viewSource