CAS (3) —— Mac下配置CAS客户端经代理访问Tomcat CAS

CAS (3) —— Mac下配置CAS客户端经代理访问Tomcat CAS

---

tomcat版本: tomcat-8.0.29

jdk版本: jdk1.8.0_65

nginx版本: nginx-1.9.8

cas版本: cas4.1.2

cas-client-3.4.1

参考来源:

CAS实现单点登录（SSO）经典完整教程

CAS 4.0 配置开发手册

cas客户端应用实现

使用 CAS 在 Tomcat 中实现单点登录

Tomcat (1) —— Mac下配置Tomcat Https/SSL

【高可用HA】Apache (2) —— Mac下安装多个Apache Tomcat实例

【高可用HA】Nginx (1) —— Mac下配置Nginx Http负载均衡(Load Balancer)之101实例

Mac为nginx安装nginx-sticky-module

CAS (1) —— Mac下配置CAS到Tomcat（服务端）

CAS (2) —— Mac下配置CAS到Tomcat（客户端）

目标架构

准备

要搭建上面这个环境会相对复杂，我们需要参照之前的文章准备以下必备的组件或环境：

1. 2个Tomcat服务器作为客户端应用程序服务器（即cas的客户端）

    app1.hoau.com:8081/8413(http/https)
    app2.hoau.com:8082/8423(http/https)
   

   参照Tomcat Cluster、Tomcat SSL和CAS Client

2. 1个Nginx服务器作为中间层代理转发服务器（后可扩展为LoadBalancer）

    proxy.sso.hoau.com:85/?(http/https)
   

   参照Nginx Load Balancer与Nginx Sticky Session

3. 另一个1个带有SSL的Tomcat服务器作为CAS服务器

    sso.hoau.com:8083/8433(http/https)
   

   参照Tomcat SSL与CAS Server

配置

我们在之前的文章中已经实现了通过app1和app2客户端直连CAS服务器，从而实现SSO的目的：

CAS (1) —— Mac下配置CAS到Tomcat（服务端）

CAS (2) —— Mac下配置CAS到Tomcat（客户端）

基于以上的配置web.xml，我们首先需要将两个app的SSO服务器指向nginx proxy(http://proxy.sso.hoau.com:85/cas/login)，其中：

• APP1: app1.hoau.com:8081/8413(http/https)

  • CAS Authentication Filter

      <init-param>
      	<param-name>casServerLoginUrl</param-name>
      	<!--
      	<param-value>https://sso.hoau.com:8433/cas/login</param-value>
      	-->
      	<param-value>http://proxy.sso.hoau.com:85/cas/login</param-value>
      </init-param>
      <init-param>
      	<param-name>serverName</param-name>
      	<param-value>https://app1.hoau.com:8413</param-value>
      </init-param>
    

  • CAS Validation Filter

      <init-param>
      	<param-name>casServerUrlPrefix</param-name>
      	<!--
      		<param-value>https://sso.hoau.com:8433/cas</param-value>
      	-->
      	<param-value>http://proxy.sso.hoau.com:85/cas</param-value>
      </init-param>
      <init-param>
      	<param-name>serverName</param-name>
      	<param-value>https://app1.hoau.com:8413</param-value>
      </init-param>
    

• APP2: app2.hoau.com:8082/8423(http/https)

  同上

• Nginx Proxy: proxy.sso.hoau.com:85/?(http/https)

  修改nginx.conf:

    upstream localhost {
    	#根据ip计算将请求分配各那个后端tomcat，许多人误认为可以解决session问题，其实并不能。
        #同一机器在多网情况下，路由切换，ip可能不同
        #ip_hash;
    	sticky;
  
        #Richard: http
        #server localhost:8083;
    	#server localhost:8084;
  
        #Richard: https todo
        server sso.hoau.com:8433;
    	#server sso.hoau.com:8443;
    }
  

  并开放https Proxy_ByPass

    location / {
        proxy_connect_timeout   3;
        proxy_send_timeout      30;
        proxy_read_timeout      30;
        #proxy_pass http://localhost;
        proxy_pass https://localhost;
    }
  

* 注意： 在CAS目标服务器为单节点时，sticky参数客户忽略，默认为ip_hash。

测试

我们清空浏览器的cache和cookie，按照下列步骤操作

1. 访问"https://app1.hoau.com:8413/cas1"

   系统会将我们重定向到

    "http://proxy.sso.hoau.com:85/cas/login"。
   

2. 输入用户名密码"test01/psw01"

   登陆成功

3. 访问"https://app2.hoau.com:8423/cas2"

   系统会将我们重定向到

    "http://proxy.sso.hoau.com:85/cas/login"。
   

   但是系统不会用"test01/psw01"自动登陆。

* 按照以上步骤，交换app1与app2的操作顺序，发现结果一样，app1与app2均可以自行通过nginx proxy到CAS Server上登陆，但是看似无法共享Ticket

*扩展

问题来了

• 为什么不通过代理直连的时候，SSO正常，但是通过代理就不正常了呢？

怀疑点

• Nginx proxy 没有SSL？
• CAS服务器上的Ticket失效了？
• Client App(Tomcat)--> Proxy(Nginx) --> CAS Server(Tomcat)这条线上什么东西丢了？

请参考另一篇文章

CAS (5) —— Nginx代理模式下浏览器访问CAS服务器配置详解

结束