Apereo CAS实现单点登录(sso)

原创 已于 2022-03-08 18:08:45 修改 · 3.5k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tomcat #apache

于 2022-03-08 17:43:27 首次发布
本文详细介绍了CAS(Central Authentication Service)单点登录系统的部署、配置及其实现流程。从下载CAS Server的war包,到在Tomcat中部署并验证安装,再到配置CAS客户端,展示了SSO登录、登出功能。此外,文章还探讨了CAS与Token的区别,以及CAS认证流程的关键步骤,包括TGT和ST的角色。读者将深入理解CAS在企业级单点登录解决方案中的应用。

文章目录

一什么是单点登录(sso)

用户一次登录可以访问所有互相信任的应用系统

传统的session无法在系统分别部署到不同的服务器中使用

二什么是CAS

是实现SSO单点登录的框架
点击进入CAS官网:

特点

  1. 开源企业级单点登录解决方案
  2. CAS Service(CAS服务端): 是需要独立部署的Web应用
  3. CAS Client(CAS客户端): 支持非常多的客户端(java,PHP…)

三CAS Server

前置准备 jdk,tomcat的安装和环境变量的配置

3.1下载与部署cas的war包

链接:https://pan.baidu.com/s/1VZcNEpNmFIhVAl6zPSbA-w
提取码:6nzn

下载cas.war后将其放入到tomcat的安装目录中的 apache-tomcat-8.5.72\webapps文件夹下:
**加粗样式

3.2启动tomcat查看cas Server是否安装成功

进入tomcat的安装目录中bin文件夹下
Windows系统双击 startup.bat
在这里插入图片描述

自动弹出黑窗口:
在这里插入图片描述
第一次加载有的小伙伴可能加载的慢一些,
注意不要对黑窗口 敲击回车 否则会暂停窗口
出现READY表示加载完成
在这里插入图片描述

浏览器输入 http://localhost:8080/cas/login

在这里插入图片描述
回到tomcat的安装目录我们会发现webapps文件夹下多了个cas文件夹
在这里插入图片描述

进入tomcat的安装目录中webapps\cas\WEB-INF\classes
打开application.properties文件
在这里插入图片描述

在最后一行找到我们需要的用户名和密码
用户名 casuser
密码 Mellon
在这里插入图片描述

回到浏览器输入后登陆成功!
在这里插入图片描述

3.3CAS Server其它功能演示

在tomcat的安装目录中webapps\cas\WEB-INF\classes\webflow中有loginlogout文件夹
在这里插入图片描述

我们大胆猜测
logout文件夹是管理登出功能的
浏览器输入 http://localhost:8080/cas/logout
在这里插入图片描述

回过头来看webapps\cas\WEB-INF\classes\application.properties文件
在这里插入图片描述

四CAS 客户端

点击下载我的源码
https://gitee.com/zhang-zhiwei233/SpringBoot2_SpringSecurity_CAS
这里是
SpringBoot2+SpringSecurity+CAS 安全认证整合项目

启动后访问http://localhost:7200/
发现浏览器自动跳转到
http://127.0.0.1:8080/cas/login?service=http%3A%2F%2Flocalhost%3A7200%2Flogin
但是报了个错误
在这里插入图片描述
解决方法:
在tomcat的安装目录中cas\WEB-INF\classes\application.properties添加如下

cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true

重启CAS服务端和客户端

发现报出如下错误
在这里插入图片描述
解决方法
cas服务4后服务端默认是https协议的配置文件,而我们浏览器是http的需要修改它
路径cas\WEB-INF\classes\services\HTTPSandIMAPS-10000001.json

        {
          "@class" : "org.apereo.cas.services.RegexRegisteredService",
          // "serviceId" : "^(https|imaps)://.*",
          "serviceId" : "^(https|http|imaps)://.*",
          "name" : "HTTPS and IMAPS",
          "id" : 10000001,
          "description" : "This service definition authorizes all application urls that support HTTPS and IMAPS protocols.",
          "evaluationOrder" : 10000
        }

重启CAS服务端和客户端

在这里插入图片描述
输入用户名密码
用户名 casuser
密码 Mellon

在这里插入图片描述

输入http://localhost:7200/hello
在这里插入图片描述

登出http://localhost:7200/logout
在这里插入图片描述

登出后输入http://localhost:7200/hello
发现自动跳转到登录页面
在这里插入图片描述

五CAS 认证流程

在开始前先了解几个名词
user用户
Browser浏览器
CAS Server 服务器
Protected App 应用1
Protected App 应用2
TGC 存放用户身份认证凭证的cookie,在浏览器和CAS Server间通讯时使用,是CAS Server用来明确用户身份的凭证。TGT封装了TGC值以及此Cookie值对应的用户信息.
TGT:TGT对象的ID就是TGC的值,在服务器端,通过TGC查询TGT。
ST:service ticket,CAS为用户签发的访问某一service的票据,ST是TGT签发的。
全局会话:未完
局部会话: 未完

在这里插入图片描述

解释一下这张官网流程图

  1. 用户通过浏览器访问应用1, 应用1发现用户未登录,返回302,并携带上一个service参数,让用户到CAS Server上登录
  2. 浏览器自动重定向到CAS Server上, CAS Server获取用户Cookie中携带的TGC,去校验用户是否登录
    如果已经登录,则完成身份验证(此时CAS Server可以根据用户的TGC找TGT,进而获取用户信息)
    如果未登录,则重定向到CAS Server的登录页面,用户输入用户名/密码,CAS Server生成TGT,根据TGT签发一个ST,将TGC放在用户的cookie中,完成身份校验
  3. CAS Server 完成身份校验之后,会将 ST 拼接在 service 中,返回 302,浏览器将首先将 TGC 存在 Cookie 中,然后根据 302 的指示,携带上 ST 重定向到应用1。
  4. 应用1 收到浏览器传来的 ST 之后,拿去 CAS Server 上校验,去判断用户的登录状态,如果用户登录合法,CAS Server 就会返回用户信息给 应用1。
  5. 浏览器再去访问应用2,应用2 发现用户未登录,重定向到 CAS Server。
  6. CAS Server 发现此时用户实际上已经登录了,于是又重定向回应用2,同时携带上 ST。
  7. 应用2 拿着 ST 去 CAS Server 上校验,获取用户的登录信息

六登出

七与token的区别

CAS Server需要存储TGC
而 Token不存储在服务端
2.Token支持跨域单点登录
未完待续

呆大王
关注
IntelliJ IDEA创建Spring Boot项目——Spring Boot入门
yqyang10的专栏
11-04 468
Spring boot简介 Spring与Spring boot Spring作为一个轻量级的容器,在Java EE开发中得到了广泛的应用,但是Spring的配置繁琐臃肿,在和第三方框架进行整合时代码都非常大,并且整合的代码大多是重复的。 Spring Boot带来了全新的自动化配置解决方案,Spring Boot对于一些常用的第三方库提供了默认的自动化配置方案,开发者只需要很少的Spring配置就能运行一个完整的Java EE应用。Spring Boot可以将项目打包成war文件,也可以打包成jar
单点登录Apereo CAS 7.1安装配置教程
益添的博客
10-09 2098
笔者目前正在做一个单点登录的课题,历时较长总算摸到一些门路,其中的辛酸不易按下不表。截至本文发布,CAS的最新版本为7.1。
终极指南:如何使用 Apereo CAS 实现企业级单点登录与身份安全
最新发布
gitblog_00603的博客
10-28 778
Apereo CAS 是一款强大的开源身份验证和授权框架,专为企业和开发者提供全面的单点登录SSO)解决方案。通过统一身份管理,它能够无缝保护 Web 应用、API 和移动服务,支持 OAuth、SAML 等多种安全协议,是实现跨平台身份验证的理想选择。 ## 为什么选择 Apereo CAS?5大核心优势解析 ???? 在数字化时代,企业面临多系统身份管理的复杂性,Apereo CAS 凭借以...
vulhub漏洞复现-apereo-cas反序列化命令执行漏洞复现
遇事不决冲冲冲
10-05 4675
Apereo-Cas 统一认证 - Apereo CAS 简介 微服务是将单一应用程序划分成一组小的服务,服务之间互相协调、互相配合。而每个这样的小服务可能都得进行安全验证,如果每个小的服务都得独自安全验证处理的话,就太麻烦了,所以就出现了统一处理这些安全相关的认证或授权的服务,这些服务中比较出名的有Apereo CAS ,Keycloak 思路 4.1.7版本之前网站使用了Webflow框架(和wordpress差不多),漏洞出现在登陆时默认密钥changeit处,我们可以利用工具生成恶意payload去
初识 Apereo CAS 单点登录
莹伙丛
04-30 515
初识 Apereo CAS 单点登录 Apereo CAS单点登录解决方案,是满足身份验证和授权需求的综合平台。提供开源的 Java 服务器组件,并支持大量其他身份验证协议和功能。 主要支持: Spring Webflow / Spring Boot Java服务器组件。 可插入身份验证支持(LDAP, 数据库,X.509,SPNEGO, JAAS,JWT, RADIUS,MongoDb等)...
CAS Apereo 5.3.16 实现单点登录
dcjmessi的博客
06-17 1618
1.在源码的pom.xml中添加jdbc依赖包也可自行下载相关包,放入tomcat\webapps\cas\WEB-INF\lib路径下cas.authn.jdbc.query[0].url=jdbc:mysql://ip:端口号/数据库名?cas.authn.jdbc.query[0].user=连接数据库的用户名cas.authn.jdbc.query[0].password=连接数据库的密码。
Java_Apereo CAS身份单点登录为所有地球和超越.zip
05-22
Java Apereo CAS(Central Authentication Service)是一款开源的身份验证和单点登录(Single Sign-On, SSO)系统,广泛应用于各种教育、研究机构以及企业。它允许用户通过一次登录即可访问多个应用系统,大大提升了...
单点登录Apereo CAS 7.1客户端集成教程
益添的博客
10-10 1615
本篇我们将开始对客户端进行集成。CAS中的客户端,就是指我们实际开发的各个需要登录认证的应用。现在,跟着笔者的步伐,一起探索如何集成CAS的认证吧。
CAS方案实现单点登录SSO
java编程学习_java基础教程_booyzhang的博客
07-21 714
一、单点登录SSO 1、什么是单点登陆 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务。 例如财务系统为财务人员提供财务的管理、计算和报表服务; 人事系统为人事部门提供全公司人员的维护服务; 各种业务系统为公司内部不同的业务提供不同的服务等等。 这些系统的目的都是让计算机来进行复杂繁琐的计算工作,来
Shiro与CAS集成:实现单点登录(SSO)
m0_65382359的博客
07-08 1241
想象一个企业有OA系统、CRM系统、财务系统和HR系统。如果没有SSO,一个员工每天需要在这四个系统里分别登录,管理四套不同的密码,效率低下且容易混淆。单点登录(Single Sign-On)在一个多应用环境中,用户只需登录一次,就可以访问所有相互信任的应用系统,无需再次输入用户名和密码。它通过一个独立的、中央的认证中心来实现。所有的应用系统都信任这个中心,并将认证的"工作"全部委托给它。委托思想:SSO的核心是将认证的职责完全委托给一个可信的中央服务。
Apereo CAS5.2.3 自定义登录页,验证码,扩展开发,注册功能
04-25
完整项目在https://download.youkuaiyun.com/download/u010588262/10327539 这个资源是新增功能之后的main文件夹 对应博客系列:https://blog.youkuaiyun.com/u010588262/article/category/7548325 对应博客这篇:https://blog.youkuaiyun.com/u010588262/article/details/80014083
sso apereo cas 统一登录
06-17
主要介绍 Apereo CAS 在项目中的实战。cas服务器的搭建,cas中使用redis进行存储,cas中用户名和密码的设置方式。spring boot项目如何集成cas客户端,前后端项目如何集成cascas的一些高级应用等等。
Apereo CAS简单使用
2401_85480529的博客
07-24 1000
Apereo CAS(Central Authentication Service)是一个开源的单点登录SSO)解决方案,旨在为各种应用程序提供集中化的身份验证服务。当用户在CAS服务器上成功登录后,他们将被重定向回这个URL,从而完成身份验证过程并允许用户访问受保护的资源。CAS Server URL指的是CAS服务器的地址,它是用于处理身份验证请求的中心服务器的URL。Application Service URL指的是应用程序服务的URL,即用户登录后的重定向地址。
统一认证 - Apereo CAS 简介
weixin_34392906的博客
02-03 326
为什么要做这个尝试? 微服之道,方兴未艾;农之来学者,盖已千者! 这句是从《陶山集·太学案问》瞎改出来的。意思就是微服务的架构理念还在不断地发展,现在整个啥都 言必出微服务,差点都到了 没学过微服务的码农不是一个好码农。搞到微服务这个词都快跟区块链差不多臭了。 在将臭未臭之前,我们赶紧把其中的统一认证这块过一下。 在微服务的概念中,恨不...
apereo-cas
m0_49420271的博客
06-08 355
vulhub-apereo-cas漏洞复现
Apereo Cas在项目中接入
qq_32323239的博客
12-16 2239
Apereo CAS的一个功能就是单点登录,统一的登录登出接口与页面,让系统中的模块只需要关注在业务点,而把安全认证的功能交给统一认证来做。所以客户端的集成主要是单点登录的集成,客户端指定需要做安全认证的页面,然后Apereo CAS的安全包检测校验用户登录情况,并自动与CAS登录页面进行跳转交互。1、用户访问CAS Client请求资源2、客户端程序做了重定向,重定向到CAS Server。
Apereo CAS 5.0.X 简明实用教程
热门推荐
来啊 快活啊
03-07 1万+
Apereo CAS 5.0.X 启用OAuth2服务时的一个坑
CASApereo CAS 简介(一)
diandiao3845的博客
03-27 864
CASApereo CAS 简介(一) Background(背景) 随着公司业务的不断扩展,后台接入子系统不断增多,那么我们将针对不同的平台进行拆分为各自对应的子系统, 权限是不变的,那么我们不能每个子系统都单独进行登录认证,不然管理人员进行切换系统时会疯掉。 那么,经过考察选用开源框架 Apereo CAS , 选定版本为 5.2.0。目前系统已在线,并已稳定。 接下来我会将系...
Discuz X2.5与CAS集成实现单点登录SSO
Discuz X2.5 与 CAS 集成实现单点登录SSO)是一项典型的 Web 应用系统身份认证整合方案,其核心目标是实现用户在多个应用系统之间无需重复登录即可完成身份验证,从而提升用户体验和系统的安全统一性。该集成方案...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值