JASIG-CAS单点登陆服务端客户端配置

最近研究了下cas单点登录，用了应用广泛的JASIG，可惜的是官网在我天朝打不开，不过也挡不住我的步伐。废话就不说了，今天先简单的记录下对于服务端研究的笔记。以备过后查看。

下载服务端地址：http://developer.jasig.org/cas/ 

我下载的是3.5.2版，最新的是4.x版的。

单点登录一般都采用https协议，那么生成证书就采用sun公司提供的keytool命令来生成证书，最终的证书的密钥是这样子的：

第一步：生成密钥：

keytool -genkey -alias cas -keyalg RSA -storepass changeit

-genkey：生成密钥

-alias ：别名 ，就是为生成的密钥条目起个别名，上图中日期前的cas就是

-keyalg：采用的加密的方式

-storepass：是密钥库的密码

按回车后将会提示一下信息：

其中您的名字和姓氏是什么？一般填写你的服务器访问的域名，其他的随便填写，当然如果对命令熟悉的话，可以在上述命令后加 -dname ”CN=cas OU=cas O=cas L=北京 ST= 北京 C=zh“  引号中用空格或是逗号隔开，就不会在象上图一样一步步提示了，直接到位：

条目的密码如果与上面设置的密钥库的密码changeit相同直接回车，不同则自己设置，一般相同的即可

回车后，在您的C:/Users/用户名下会多一个.keystore的文件，这个就是生成的密钥库了。如果你指定生成密钥库的位置，可以在上述命令中加 -keystore ”%JAVA_HOME%\bin\aaa.keystore“  这样在设置的jdk的bin目录下就多了一个aaa.keystore的文件了。

第二步：输出证书

keytool -export -alias cas file -cas.crt -storepass changeit 

执行上述命令后在默认路径下会多一个cas.crt的证书

第三步：将证书导入到java的证书库中

<span style="font-size:14px;">keytool -import -alias cas -file cas.crt -keystore "%JAVA_HOME%\jre\lib\security\cacerts" -storepass changeit</span>

这样证书就ok了。

输入命令

keytool -list -alias cas -storepass changeit 

就能看到前文的第一张图的信息了。

部署

将下载的文件解压，然后把cas-server-3.5.2\modules\cas-server-webapp-3.5.2.war 改名ROOT/cas.war放到Tomcat的webapp目录下

将Tomcat的    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />从注释中放开

启动Tomcat 

然后访问https://cas:8443/cas/（修改成cas.war）,https://cas:8443/（修改成ROOT.war）即可看到Cas的登陆页面了。

如果不想加端口号，将端口号修改成443，就ok了。

官方的用户名和密码一致即可登录。成功后页面如下：

官方的这个验证是采用的是包package org.jasig.cas.authentication.handler.support下的SimpleTestUsernamePasswordAuthenticationHandler类

其源码大致如下：

 public boolean authenticateUsernamePasswordInternal(final UsernamePasswordCredentials credentials) {
        final String username = credentials.getUsername();
        final String password = credentials.getPassword();

        if (StringUtils.hasText(username) && StringUtils.hasText(password)
            && username.equals(getPasswordEncoder().encode(password))) {//验证username ==password 
            log
                .debug("User [" + username
                    + "] was successfully authenticated.");
            return true;
        }

        log.debug("User [" + username + "] failed authentication");

        return false;
    }

此类的配置在 deployerConfigContext.xml 中

 <bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />

可以替换成自己的类，也可以采用官方提供的类

下面介绍下包package org.jasig.cas.adaptors.generic下的三个类：

三个类 ：
RejectUsersAuthenticationHandler  
拒绝认证某些人  除了配置的用户，随便输入都能登陆

<bean class="org.jasig.cas.adaptors.generic.RejectUsersAuthenticationHandler">
						<property name="users">
							<list>
							<value>scott</value>
							</list>
						</property>
					</bean>

FileAuthenticationHandler
认证文件中配置的某些人 配置格式如下：scott::123456

<bean class="org.jasig.cas.adaptors.generic.FileAuthenticationHandler">
					<property name="fileName" value="/WEB-INF/user.txt"></property>
			</bean> 

AcceptUsersAuthenticationHandler
认证配置的人
 

<span style="font-size:14px;"><bean class="org.jasig.cas.adaptors.generic.AcceptUsersAuthenticationHandler">
					<property name="users">
						<map >
							<entry key="scott" value="password"></entry>
							...
						</map>
					</property>
			 </bean></span>

JDBC认证需要修改配置文件deployerConfigContext.xml

找到bean<bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler"/>此bean默认只要用户名和密码相同即可登录

改为

<beanclass="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">

        <propertyname="dataSource"ref="dataSource"/>

        <propertyname="sql"value="select userpassword from iaf_user where lower(loginname) =lower(?)"/>

</bean>

userpassword ：修改成你的用户表中密码字段

iaf_user  ：修改成你的用户表

 loginname ：修改成你的用户表的用户名

lower()：函数为oracle数据库中的函数，不区分大小写，可去除

 

注：

并在此配置文件中配置dataSourece，配置如下：

<!--  使用JDBC验证用户名和密码 -->

    <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource">

        <propertyname="driverClassName">

              <value>oracle.jdbc.driver.OracleDriver</value>

        </property>

    <propertyname="url">

              <value>${jdbc.url}</value>

    </property>

        <propertyname="username"><value>${jdbc.username}</value></property>

    <propertyname="password"><value>${jdbc.password}</value></property>

    <propertyname="initialSize"><value>${jdbc.initialSize}</value></property>

    <propertyname="maxActive"><value>${jdbc.maxActive}</value></property>

    <propertyname="maxIdle"><value>${jdbc.maxIdle}</value></property>

  </bean>

则需在cas.properties文件中配置属性

例：jdbc.url=jdbc:oracle:thin:@host:port:ORCL

jdbc.username=test

jdbc.password= test

这样配置好后，客户端就能通过

AttributePrincipal principal = AssertionHolder.getAssertion().getPrincipal();

principal.getName();获取用户名

可是很多情况下，我需要cas服务器返回更多用户信息，而不仅仅是只返回用户名，那么还需要一下配置：

找到deloyerConfigContext.xml文件

①    找到id= serviceRegistryDao的bean ,注释掉它里面的全部属性,如下示例：

<bean

        id="serviceRegistryDao"

        class="org.jasig.cas.services.InMemoryServiceRegistryDaoImpl">

             <!--  <propertyname="registeredServices">

               <list>

                   <beanclass="org.jasig.cas.services.RegexRegisteredService">

                      <property name="id" value="0" />

                       <property name="name" value="HTTP and IMAP" />

                       <property name="description" value="Allows HTTP(S) andIMAP(S) and HTTP protocols" />

                       <property name="serviceId" value="^(https?|imaps?|https?)://.*"/>

                       <property name="evaluationOrder" value="10000001"/>

                       <property name="allowedAttributes">

                          <list>

                              <value>USERNO</value>

                              <value>LOGINNAME</value>

                              <value>USERNAME</value>

                          </list>

                       </property> 

                     

                    </bean>

                ……

                  </list>

           </property>   -->

        </bean>

②    找到id= attributeRepository的bean，默认配置如下：

<!--  <bean id="attributeRepository"

     class="org.jasig.services.persondir.support.StubPersonAttributeDao">

     <propertyname="backingMap">

         <map>

             <entry key="uid"value="uid" />

             <entrykey="eduPersonAffiliation" value="eduPersonAffiliation"/>

             <entrykey="groupMembership" value="groupMembership" />

         </map>

     </property>

</bean> -->

将其注释，并配置下面的代码(id为attributeRepository，不可变)：

<bean id="attributeRepository"class="org.jasig.services.persondir.support.jdbc.SingleRowJdbcPersonAttributeDao">

        <constructor-argindex="0"ref="dataSource"/> //引用数据源

        <constructor-argindex="1"value="select * fromiaf_user where {0}"/>

        <propertyname="queryAttributeMapping">

            <map>

    <entrykey="username"value="LOGINNAME"/> //key为username，不可改，//value为数据库字段

            </map>

        </property>

         <propertyname="resultAttributeMapping">

            <map>

         //下面的entry为需要在客户端获取的用户信息key为数据库字段，value为客户端获取的属性

                <entrykey="ID"value="id"/>

                <entrykey="USERNO"value="userno"/>

                <entrykey="LOGINNAME"value="loginname"/>

                <entrykey="USERNAME"value="username"/>

            </map>

        </property>

</bean>

在WEB-INF\view\jsp\protocol\2.0 \目录下，找到casServiceValidationSuccess.jsp

在页面上增加以下代码：(一下代码不加，客户端获取不到更多信息)

 <c:if test="${fn:length(assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes) > 0}">
<cas:attributes>
<c:forEach var="attr" items="${assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes}">
<cas:attribute>
<cas:${fn:escapeXml(attr.key)}>${fn:escapeXml(attr.value)}</cas:${fn:escapeXml(attr.key)}>
</cas:attribute>
</c:forEach>
</cas:attributes>
</c:if> 

客户端配置

导入cas-client-3.2.1.jar 

配置web.xml

配置web.xml

并在测试工程的web.xml中加入以下代码：

<!—单点登出配置(session注销) -->

<filter>

   <filter-name>CasSingleSignOutFilter</filter-name>

<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

   </filter>

   <filter-mapping>

       <filter-name>CasSingleSignOutFilter</filter-name>

       <url-pattern>/*</url-pattern>

   </filter-mapping>

<!—单点登出配置监听器，监听单点登出 -->

<listener>

<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>

</listener>

<!—必须配置负责登录用户的认证工作-->

   <filter>       

<filter-name>CASFilter</filter-name>

<filter-class>

org.jasig.cas.client.authentication.AuthenticationFilter

</filter-class>

       <init-param>

            <param-name>casServerLoginUrl</param-name>

<!-- Cas Server登录url,localhost为生成秘钥时配置的CN -->

            <param-value>https://localhost:8443/cas/login</param-value>

       </init-param>

       <init-param>

<!-- 配置当前web应用所在的web服务器域名url -->

            <param-name>serverName</param-name>

            <param-value>http://localhost:8080</param-value>

       </init-param>

   </filter>

   <filter-mapping>

       <filter-name>CASFilter</filter-name>

       <url-pattern>/*</url-pattern>

   </filter-mapping>

   <filter> <!—必须配置负责对Ticket的校验工作-->

       <filter-name>CasTicketFilter</filter-name>

       <filter-class>

           org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter

</filter-class>

       <init-param>

            <param-name>casServerUrlPrefix</param-name>

<!-- Cas Server登录后的验证用户 cas后不加/login-->

            <param-value>https://localhost:8443/cas</param-value>

       </init-param>

       <init-param>

            <param-name>serverName</param-name>

            <param-value> http://localhost:8080</param-value>

       </init-param>

   </filter>

   <filter-mapping>

       <filter-name>CasTicketFilter</filter-name>

       <url-pattern>/*</url-pattern>

   </filter-mapping>

<!-—可选择配置负责对httpServletRequest包装开发者可通过HttpSevletRequest.getRemoteUser()获取登录的用户名

<filter>

       <filter-name>CasRequestWrapFilter</filter-name>

       <filter-class>

           org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>

   </filter>

   <filter-mapping>

       <filter-name>CasRequestWrapFilter</filter-name>

       <url-pattern>/*</url-pattern>

   </filter-mapping>

<!-—可配置AssertionHolder.getAssertion().getPrincipal().getName()获取登录的用户名-->

   <filter>

       <filter-name>AssertionThreadLocalFilter</filter-name>

       <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

   </filter>

   <filter-mapping>

       <filter-name>AssertionThreadLocalFilter</filter-name>

       <url-pattern>/*</url-pattern>

   </filter-mapping>

 

Map<String, Object> attributes = AssertionHolder.getAssertion().getPrincipal().getAttributes();

attributes.get(Obeject key) 获取配置的更多用户信息