最近一直在研究cas登录中心这一块的应用,分享一下记录的一些笔记和心得。后面会把cas-server端的配置和重构,另外还有这几天再搞nginx+cas的https反向代理配置,以及cas的证书相关的知识分享出来。

Cas由两部分组成,Cas Server和Cas Client。Cas Server是Cas自己的服务端,而Cas Client是Cas客户端,往往客户端需要和我们具体的业务系统进行集成,这里我们主要详述cas 客户端的配置以及实例

第一步:

我们得有一个现成的web项目,然后我们要加入cas-client-core-xxx.jar到classpath;

maven项目用这个:

<dependency>

	<groupId>org.jasig.cas.client</groupId>

	<artifactId>cas-client-core</artifactId>

	<version>3.3.3</version>

</dependency>

这里我使用 cas-client-core-3.3.3.jar,顺便推荐一个用来搜索和下载引用包的网站,我一般从这里下载引用包:http://mvnrepository.com/artifact/org.jasig.cas.client/cas-client-core/3.3.3


第二步:配置单点登录Filter和注销监听器/过滤器

 我们需要在应用的web.xml文件中配置四个Filter,这四个Filter必须按照固定的顺序来进行配置,而且它们必须配置在应用的其它Filter之前。它们的先后顺序要求如下:
1、AuthenticationFilter

2、TicketValidationFilter

3、HttpServletRequestWrapperFilter

4、AssertionThreadLocalFilter

1.1、 配置AuthenticationFilter

 1.1.1、AuthenticationFilter有两个必须指定的参数:

casServerLoginUrl用来指定Cas Server登录地址,serverName或service用来指定认证成功后需要跳转地址。

补充:

service和serverName一般只需要指定一个,如果都指定了,参数service将具有更高的优先级,即以service指定的参数值为准。

service和serverName的区别:

service指定的是一个确定的URL,认证成功后就会确切的跳转到service指定的URL;

serverName用来指定主机名,格式为{http/https}:{主机名}:{端口号}

如:https://localhost:8335,当指定的是serverName时,AuthenticationFilter将会把它附加上当前请求的URI,以及对应的查询参数来构造一个确定的URL,如指定serverName为“http://localhost”,而当前请求的URI为“/login”,查询参数为“user=123&pwd=123”,则对应认证成功后的跳转地址将为“http://localhost/login?user=123&pwd=123”。)

AuthenticationFilter可以指定如下可选参数:

renew:当指定renew为true时,在请Cas Server时将带上参数“renew=true”,默认为false。

gateway:指定gateway为true时,在请求Cas Server时将带上参数“gateway=true”,默认为false。

artifactParameterName:指定ticket对应的请求参数名称,默认为ticket。

serviceParameterName:指定service对应的请求参数名称,默认为service。

例如,我是这样配置的:

<filter>

      <filter-name>casAuthenticationFilter</filter-name>

   <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>

      <init-param>

         <param-name>casServerLoginUrl</param-name>

         <param-value>https://cas.eguid.cn:8335/cas-server/</param-value>

      </init-param>

      <init-param>

         <param-name>serverName</param-name>

         <param-value>http://sso.eguid.cn:8080/</param-value>

      </init-param>

   </filter>

   <filter-mapping>

      <filter-name>casAuthenticationFilter</filter-name>

      <url-pattern>/*</url-pattern>

   </filter-mapping>

1.2、配置TicketValidationFilter

请求通过AuthenticationFilter的认证之后,如果请求中携带了参数ticket则将会由TicketValidationFilter来对携带的ticket进行校验。

TicketValidationFilter只是对验证ticket的这一类Filter的统称,其并不对应Cas Client中的一个具体类型。

Cas Client中有多种验证ticket的Filter,都继承自AbstractTicketValidationFilter,它们的验证逻辑都是一致的,都有AbstractTicketValidationFilter实现,不同的是使用的TicketValidator不一样。这里我们使用Cas10TicketValidationFilter,也可以使用Cas20ProxyReceivingTicketValidationFilter或者Saml11TicketValidationFilter。

<filter>

      <filter-name>casTicketValidationFilter</filter-name>

   <filter-class>org.jasig.cas.client.validation.Cas10TicketValidationFilter</filter-class>

      <init-param>

         <param-name>casServerUrlPrefix</param-name>

         <param-value>https://cas.eguid.cn:8335/cas-server/</param-value>

      </init-param>

        <init-param>

         <param-name>serverName</param-name>

         <param-value>http://sso.eguid.cn:8080/</param-value>

      </init-param>

   </filter>

   <filter-mapping>

      <filter-name>casTicketValidationFilter</filter-name>

      <url-pattern>/*</url-pattern>

   </filter-mapping>

必须指定的参数:

casServerUrlPrefix 用来指定Cas Server对应URL地址的前缀,如上面示例的“https://cas.eguid.cn:8335/cas-server。

serverName或service:与前面的用法相同。

可选参数:
redirectAfterValidation :表示是否验证通过后重新跳转到该URL,但是不带参数ticket,默认为true。
useSession :                在验证ticket成功后会生成一个Assertion对象,如果useSession为true,则会将该对象存放到Session中。如果为false,则要求每次请求都需要携带ticket进行验证,显然useSession为false跟redirectAfterValidation为true是冲突的。默认为true。
exceptionOnValidationFailure :表示ticket验证失败后是否需要抛出异常,默认为true。
renew:                         当值为true时将发送“renew=true”到Cas Server,默认为false。
 
1.3、配置HttpServletRequestWrapperFilter

HttpServletRequestWrapperFilter用于将每一个请求对应的HttpServletRequest封装为其内部定义的CasHttpServletRequestWrapper,该封装类将利用之前保存在Session或request中的Assertion对象重写HttpServletRequest的getUserPrincipal()、getRemoteUser()和isUserInRole()方法。这样在我们的应用中就可以非常方便的从HttpServletRequest中获取到用户的相关信息。

 <filter>

      <filter-name>casHttpServletRequestWrapperFilter</filter-name>

   <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>

   </filter>

   <filter-mapping>

      <filter-name>casHttpServletRequestWrapperFilter</filter-name>

      <url-pattern>/*</url-pattern>

   </filter-mapping>

1.4、配置AssertionThreadLocalFilter

AssertionThreadLocalFilter可以在应用的其它地方获取Assertion对象,找个过滤器会把Assertion对象存放到当前的线程变量中,我们在程序的任何地方都可以从线程变量中获取当前Assertion,就不需要再从Session或request中进行解析了。这个线程变量是由AssertionHolder持有的,我们在获取当前的Assertion时也只需要通过AssertionHolder的getAssertion()方法获取即可,如:

   Assertion assertion = AssertionHolder.getAssertion();

我是这样配置的:

<filter>

      <filter-name>casAssertionThreadLocalFilter</filter-name>

     <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>

   </filter>

   <filter-mapping>

      <filter-name>casAssertionThreadLocalFilter</filter-name>

      <url-pattern>/*</url-pattern>

   </filter-mapping>

1.5、配置单点注销监听器和过滤器用于统一注销

<!-- 单点注销监听器 -->

<listener>

<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>

</listener>

<!-- 单点注销过滤器 -->

<filter>

   <filter-name>caslogoutFilter</filter-name>

   <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>

</filter>

<filter-mapping>

   <filter-name>caslogoutFilter</filter-name>

   <url-pattern>/*</url-pattern>

</filter-mapping>

当你真的登录成功后,你会发现,你回不到原来页面了!怎么办?其实我们只要在前端给他一个参数就行了,可以这样简单实现这个功能:

//登录中心url

var loginCenter = "https://cas.eguid.cn:8335/cas-server";

function getUrl() {

	var hostname = location.href;

	return hostname;

}

//登陆

function login() {

	location.href = loginCenter + "/login?service=" + getUrl();

}

//登录中心执行登出操作

function logoutServ()

{

	alert("开始登出");

	var loginUrl = loginCenter + "/login?service=" + getUrl();

	location.href = loginCenter + "/logout?service=" + loginUrl;

}

在页面上的你得有登录和退出两个按钮,分别调用login()和logoutServ()方法。

其实这里还有个小问题,就是虽然你在cas-server端注销了,你会发现它依然会认为你现在是登录状态,所以没有拦截你的请求。

这是因为它时基于session验证的,你的server端session已经注销了,但是客户端应用这里的session还没有注销

一般我们会使用共享session的方法解决这个问题,另外有个简单的方法就是你可以在后台写个用来注销当前用户session的接口。


cas单点登录系统:客户端(client)详细配置(包含统一单点注销配置)的更多相关文章

  1. 第04项目:淘淘商城(SpringMVC+Spring+Mybatis)【第十天】(单点登录系统实现)

    https://pan.baidu.com/s/1bptYGAb#list/path=%2F&parentPath=%2Fsharelink389619878-229862621083040 ...

  2. 【Tech】单点登录系统CAS客户端demo

    服务器端配置请参考: http://www.cnblogs.com/sunshineatnoon/p/4064632.html 工具:myeclipse或者javaee-eclipse 1.启动jav ...

  3. 开源单点登录系统CAS入门

    一.什么是CAS CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目.CAS 具有以 ...

  4. 单点登录系统CAS筹建及取得更多用户信息的实现

    国内私募机构九鼎控股打造APP,来就送 20元现金领取地址:http://jdb.jiudingcapital.com/phone.html内部邀请码:C8E245J (不写邀请码,没有现金送)国内私 ...

  5. java单点登录系统CAS的简单使用

    转:http://blog.csdn.net/yunye114105/article/details/7997041 背景 有几个相对独立的java的web应用系统, 各自有自己的登陆验证功能,用户在 ...

  6. CAS实现的单点登录系统

    单点登录(single sign on ),简称SSO. 纯属学习用,对来自网络的部分如果侵害了您的权力,请联系我.QQ:262800095 SSO的定义是在多个应用系统中,用户只需要登录一次就可以访 ...

  7. CAS单点登录系统入门--分布式登录验证

    1.开源单点登录系统CAS入门 1.1 什么是单点登录 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一.SSO的定义是在多个应用系统中,用户只需要 ...

  8. 单点登录系统(SSO)之CAS(中央认证服务)

    SSO(Single Sign On)单点登录系统,是在多个系统中值要求只要登录一次,就可以用已登录的身份访问多个系统,去掉了每次访问不同的系统都要重新登录的弊端. CAS(中央/集中认证服务):Th ...

  9. CAS单点登录系统整合——注册的问题

    最近一段时间在搞CAS单点登录系统,涉及到几个子系统的整合问题.对于注册,这里遇到了一个选择: 在子系统内完成注册,然后把信息同步到CAS系统: 在CAS系统中完成基本信息的注册,比如:用户名.邮箱. ...

  10. 单点登录系统实现基于SpringBoot

    今天的干货有点湿,里面夹杂着我的泪水.可能也只有代码才能让我暂时的平静.通过本章内容你将学到单点登录系统和传统登录系统的区别,单点登录系统设计思路,Spring4 Java配置方式整合HttpClie ...

随机推荐

  1. noip2013货车运输

    P1967 货车运输 题目描述 A 国有 n 座城市,编号从 1 到 n,城市之间有 m 条双向道路.每一条道路对车辆都有重量限制,简称限重.现在有 q 辆货车在运输货物, 司机们想知道每辆车在不超过 ...

  2. Nginx阻止DDoS攻击的教程收集(转)(待实践)

    DDoS估计是一个非常头痛的问题. 分布式拒绝服务攻击(DDoS)指的是通过多台机器向一个服务或者网站发送大量看似合法的数据包使其网络阻塞.资源耗尽从而不能为正常用户提供正常服务的攻击手段.随着互联网 ...

  3. Maven插件开发教程收集(待实践)

    官方教程:http://maven.apache.org/plugin-developers/index.html http://blog.csdn.net/csfreebird/article/de ...

  4. Nuxt.js使用lazyload

    Vue的使用方式: 1. 安装插件: npm install vue-lazyload --save-dev 2. main.js引入插件: import VueLazyLoad from 'vue- ...

  5. BUPT复试专题—密码(2009)

    题目描述   输入 有多组输入,每组: 第一行:由26个小写字母组成的串以空格隔开,如 b a c e u f g h i j k l m n o p q r s t v w x y z d v y ...

  6. 转:一个android开发者独立开发社交app全过程

    http://www.cnblogs.com/linguanh/p/5683069.html

  7. [Testing] Static Analysis Testing JavaScript Applications

    The static code analysis and linting tool ESLint is the de-facto standard for linting JavaScript pro ...

  8. 如何在List集合中去重

    众所周知List集合中的元素是有序的,但是List中的元素同样是可以重复的,那么我们应该怎么在List集合中去重呢? 方法一: 对于方法一而言,这也许是一个小窍门.利用的是Set集合中不允许出现重复的 ...

  9. mybatis 动态curd

    xml <select id="selectByCondition" parameterType="com.oracle.pojo.Student" re ...

  10. struct与 union的基本用法

    结构体与联合体是C语言的常见数据类型,可对C的基本数据类型进行组合使之能表示复杂的数据结构,意义深远,是优异代码的必备工具.一.        struct与 union的基本用法,在语法上union ...