CAS单点登录原理与实现（服务端客户端搭建）

1.什么是单点登录

特别注意

    本文讲的是CAS单点登录CAS4.0.0版本，CAS默认认证方式使用的事HTTPS协议，一般对安全性不高的话建议取消改成HTTP方式，因为开启的话会经常提示证书过去，需要用户确认等，对客户感知不好。当前有需要可以开启。

      单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

   举例：上豆瓣，要登录豆瓣FM、豆瓣读书、豆瓣电影、豆瓣日记，如果我们访问豆瓣读书、豆瓣电影、豆瓣日记都需要进行一次登录认证，那么用户体验是非常不好的。所以引用了单点登录。只要一次登录就可以访问所有相互信任的应用系统。

单点登录机制：

                                         上图实现用Cookie进行验证登录

2.实现方法

   2.1 CAS服务端

    准备工作tomcat一个更改端口号

    解压下载的cas-server4.0.0服务端压缩包，找到cas-server-4.0.0\modules\cas-server-webapp-4.0.0.war文件解压到tomcat中的webapps下然后可以配置取消HTTPS协议换成HTTP协议

    （1）打开cas-server\WEB_INF\deployerConfigContext.xml文件，找到id是proxyAuthenticationHandler配置

            在后面添加配置

            将HTTPS协议换成HTTP协议。当然你不换也行，不过就需要证书了。

     （2）打开cas-server\WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml文件

找到id是ticketGrantingTicketCookieGenerator进行配置

将true改成flase,即不开启HTTPS验证

    （3）打开cas-server\WEB-INF\spring-configuration\warnCookieGenerator.xml文件，找到id是warnCookieGenerator

将true改为flase,即不开启HTTPS验证。

服务端这就配置好了。

    （4）启动tomcat运行CAS,访问localhost:8080/cas-server

运行成功。下面该登录了。

4.0以上版本的登录用户名密码在deployerConfigContext.xml配置文件中可以看到

<bean id="primaryAuthenticationHandler"
          class="org.jasig.cas.authentication.AcceptUsersAuthenticationHandler">
        <property name="users">
            <map>
                <entry key="casuser" value="Mellon"/>
            </map>
        </property>
    </bean>      

用户名casuser密码Mellon

4.0以下版本用户名跟密码保持一致就可以登录成功，如图

服务端就算搭建成功了。

2.2在服务端配置数据库用户名密码，跟数据库连接登录

    服务端配置成功，当然我们的单点登录要跟数据库项目来关联的。服务端只配置跟数据库连接就行了

    （1）修改deployerConfigContext.xml配置文件

将这块注释掉

新增bean数据库连接

新增bean编写登录sql语句

另外需要将c3p0-0.9.1.2.jar包、mysql-connector-java-5.1.21.jar包和cas-server-support-jdbc-4.0.0.jar这三个jar导入到lib下。

在修改id为authenticationManager的bean

红框内注释掉

再次运行Tomcat，访问https://localhost:8443/cas/login就能进行数据库验证了。

客户端配置

将下面这一段配置到你的项目中的web.xml文件中就可以了

    <!--用于单点退出，该过滤器用于实现单点登出功能，可选配置 -->

    <context-param>

    <param-name>casServerLogoutUrl</param-name>

    <param-value>http://localhost:8083/cas-server-webapp-4.0.0/logout</param-value>

</context-param>

    <listener>

        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>

    </listener>

    <!--该过滤器用于实现单点登出功能，可选配置。 -->

    <filter>

        <filter-name>CASSingle Sign OutFilter</filter-name>

        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>CASSingle Sign OutFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <filter>

        <filter-name>CASFilter</filter-name>

        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

        <init-param>

            <param-name>casServerLoginUrl</param-name>

            <param-value>http://localhost:8083/cas-server-webapp-4.0.0/login</param-value>  <!--服务端的地址-->

        </init-param>

        <init-param>

            <param-name>serverName</param-name>

            <param-value>http://localhost:8080</param-value>    <!--客户端的地址-->

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>CASFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!--该过滤器负责对Ticket的校验工作，必须启用它 -->

    <filter>

        <filter-name>CASValidationFilter</filter-name>

        <filter-class>

            org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter

        </filter-class>

        <init-param>

            <param-name>casServerUrlPrefix</param-name>

            <param-value>http://localhost:8083/cas-server-webapp-4.0.0</param-value><!--服务端的地址-->

        </init-param>

        <init-param>

            <param-name>serverName</param-name>

            <param-value>http://localhost:8080</param-value> <!--客户端的地址-->

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>CASValidationFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- 该过滤器负责实现HttpServletRequest请求的包裹， 比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置。 -->

    <filter>

        <filter-name>CASHttpServletRequest WrapperFilter</filter-name>

        <filter-class>

            org.jasig.cas.client.util.HttpServletRequestWrapperFilter

        </filter-class>

    </filter>

    <filter-mapping>

        <filter-name>CASHttpServletRequest WrapperFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->

    <filter>

        <filter-name>CASAssertion Thread LocalFilter</filter-name>

        <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>CASAssertion Thread LocalFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

    <!-- ========================单点登录结束 ======================== -->