SSO之CAS备忘

http://blog.chinaunix.net/uid-28380443-id-4740103.html

自己负责的公司基于CAS单点登录平台架构已经上线运行，很多细节的东西是时候备忘一下了，开源的东西，具体需要记得倒不是很多，跟着debug看源码理解，学习为主。
    首先说说整个框架的思路：由于这段时间连续上了几个项目，用户登录管理这一块一直在做重复的工作，所以考虑将这些模块抽出来单独做成一个系统。最初的想法只是做一个简单的用于登录检测方面的东西，想的也很简单，选memcached来做分布式缓存，但随着项目越写越大，又加入很多功能，早已不是最早的简单验证登录这么回事了，于是选用了cas来进行改造。
    自己开发过程中的几个比较集中的阶段：

(1)
环境的搭建：重要集中在证书的生成和管理
先生成证书文件：
keytool -genkey -alias tomcat-server -keyalg RSA -keypass changeit -storepass changeit -keystore server.keystore(生成文件)
注意name是计算机的名字或者项目的域名，生成完了后自己开发过程中为了方便去host文件里将这个名字映射给本机
得到server.keystore，配置tomcat中的server.xml的ssl证书

<Connector
    SSLEnabled="true"
    clientAuth="false"
    keystoreFile="G:/apache-tomcat-7.0.47/conf/server.keystore"
    keystorePass="changeit"
    maxThreads="150"
    port="8443"
    protocol="HTTP/1.1"
    scheme="https"
    secure="true"
    sslProtocol="TLS"
    truststoreFile="D:/JAVA/jdk7/jre/lib/security/cacerts"/>

　　

然后导出证书

    假如和我一样，自己在开发中又本机又是服务器又是客户端，那么还需要将证书在导入进jdk中(不是说一定要导入jdk，但是最好是导入，因为jdk中还有大 量的其他证书认证，后面会看到tomcat中会配置指向这个证书文件，如果只有该证书，sso跑起来没问题，但是如果有像支付宝之类的其他一些认证找不到 的一些莫名其妙的错误)
    keytool -export -alias tomcat-server -storepass changeit -file server.cer -keystore server.keystore

得到server.cer，把自己当成客户端在导入证书
    keytool -import -trustcacerts -alias server -file server.cer -keystore cacerts -storepass changeit
到这一步之后，就可以服务器和子系统双开做联调了。
    (2)关于CAS的源码，要自定义的话需要先将cas的流程走一遍，cas server端采用的spring的webflow。一系列的配置加代码流程非常的清晰，最主要看login-webflow理清流程基本上就可以自己分析出一些开发中遇到的错误和问题了。顺便说一句cas修改源码基本是修改一个小的地方结果发现自己基本上把整个流程的代码都要重写，因为他的代码都不能继承，如果需要拷出来修改完了之后再修改配置文件的引用。所以很蛋疼，不过如果需要修改他的源码一般来说肯定是自己思路出问题了，或者说代码还没有理清楚，很多东西数据都可以从他的配置文件中找到对应的类然后抽取出来。
最后把login的流程给出来：

initialFlowSetupAction
ticketGrantingTicketCheck 判断是否已登录，有无已登录票据
gatewayRequestCheck //外来service
serviceAuthorizationCheck 判断外来访问还是直接访问cas
generateLoginTicket 生成访问票据
viewLoginForm 进入登录页面
realSubmit 提交
sendTicketGrantingTicket 发送访问票据
serviceCheck 判断跳转类型
generateServiceTicket 将票据放入response

　　先把这个流程里出来在进行后期的开发效率会很高。所谓各种的ticket跟tcp的握手差不多，类比着很好想。
（3）引入restful，会发现世界瞬间美好了，很多之前你想到的然后去系统各种抽取的东西都可以通过它来做，
直接看cas官网，或者http://stackoverflow.com/questions/22625368/working-java-rest-client-example-to-access-cas-rest-api这篇帖子即可。

  org.jasig.cas
        cas-server-integration-restlet
        ${cas.version}
        runtime

                org.springframework
                spring-webmvc

                org.springframework
                spring-context

                org.springframework
                spring-core

        restlet
        org.restlet.ext.spring.RestletFrameworkServlet
        1

        restlet
        /v1/*

　　（4）开放用户数据的远程调用接口，然后打包给客户端调用。
over~

CAS SSO:如何查看并删除JRE信任库中的证书

作者：admin   发布：2012-04-08 19:05   分类：Java   阅读：1,367 次   抢沙发  

 

查看信任库中已有的证书

1	C:\Java\jdk1.6.0_27\bin>keytool -list -v -keystore "C:\Java\jre6\lib\security\cacerts"

根据证书别名删除已有的证书

1	C:\Java\jdk1.6.0_27\bin>keytool -delete -trustcacerts -alias tomcat_client -keystore "C:\Java\jre6\lib\security\cacerts"