CAS总结和整合springsecurity3.pptxVIP

Spring security3 整合CAS;一CAS介绍;二CAS原理及协议;1、CAS Client 与受保护的客户端应用部署在一起，以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求，CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket，如果没有，则说明当前用户尚未登录，于是将请求重定向到指定好的 CAS Server 登录地址，并传递 Service （也就是要访问的目的资源地址），以便登录成功过后转回该地址。用户在第 3 步中输入认证信息，如果登录成功，CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket，并缓存以待将来验证，之后系统自动重定向到 Service 所在地址，并为客户端浏览器设置一个 Ticket Granted Cookie（TGC），CAS Client 在拿到 Service 和新产生的 Ticket 过后，在第 5，6 步中与 CAS Server 进行身份合适，以确保 Service Ticket 的合法性。 2、在该协议中，所有与 CAS 的交互均采用 SSL 协议，确保，ST 和 TGC 的安全性。协议工作过程中会有 2 次重定向的过程，但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的;三 https 配置; 2、将证书导入到JDK的证书信任库中 第一步是导出证书，命令如下： keytool -export -trustcacerts -alias casserver -file server.cer -keystore server.keystore -storepass changeit 第二步是导入到证书信任库，命令如下： keytool -import -trustcacerts -alias casserver -file server.cer -keystore D:\Java\jre1.6.0_02\lib\security\cacerts -storepass changeit 注：根据不同的JDK版本证书需要导入jdk/jre中。 ;四 cas-server 配置;2、部署CAS Server? ?到CAS网站上下载server程序，将cas-server-webapp-版本号.war 拷贝到 tomcat的 webapps 目录，并更名为 cas.war。由于前面已配置好 tomcat 的 https 协议，可以重新启动 tomcat，然后访问：https://localhost:8443/cas ，如果能出现正常的 CAS 登录页面，则说明 CAS Server 已经部署成功。 3、此时cas-server 端默认的账号验证方式为用户名与密码相同即可，若需改为连接数据库形式则需 1)修改cas/WEB-INF/deployerConfigContext.xml? ? 添加DataSource bean id=dataSourceclass=org.springframework.jdbc.datasource.DriverManagerDataSource property name=driverClassNamevalue……/value/property property name=“url”value……/value/property property name=usernamevalue……/value/property property name=passwordvalue……/value/property /bean 2)替换AuthenticationHandler ? 注释掉原来的? ? !-- bean class=org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler / --;!-- 用sql形式验证 -- bean class=org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler property name=sql value=select password from t_user where username=? / property name=dataSource ref=dataSource / /bean !-- 指定表或字段 -- !-- bean class=org.jasig.c