CAS认证实现单点登录.docxVIP

CAS认证实现单点登录一.背景有几个相对独立的java的web应用系统，各自有自己的登陆验证功能，用户在使用不同的系统的时候，需要登陆不同的系统。现在需要提供一个统一的登陆/登出界面，而不修改各个系统原来的登陆验证机制。于是采用单点登录系统开源单点登录产品CAS。随着新的业务网站不断的增加，用户在每个应用系统中都有独立的账号，这样就造成在访问不同的应用系统时，需要记录对应的用户名和密码，多个用户名密码极易记混，如果忘记或记错了某一个业务网站的用户名或密码就无法进行登录，耽误工作，影响工作效率允许用户一次性进行认证之后，就访问系统中不同的应用二.原理CAS 是一个独立的 web 应用 , 当前使用 Java Servlets 实现，通过 HTTPS 协议保证其数据的传输安全性。它通过三个 Url 地址进行访问：登录 Url、验证 URL、注销 URL。三. CAS认证集成要使用单点登录，需要部署CAS系统， CAS服务端可以直接部署在tomcat下运行，对于CAS服务端来说，所有要集成单点登录的web应用都是它的一个客户端， CAS有客户端jar包，客户端web应用需要引入CAS客户端的jar包，这样CAS系统的服务端和客户端web应用程序端才能通信。客户端web应用程序的通过配置web.xml，添加CAS需要的各种过滤器，来实现和CAS服务器通信，用户信息验证工作在CAS服务端统一完成，验证通过后，客户端web应用程序只需要补全自己的Session信息即可。3.1部署CAS系统服务端步骤1：准备好以下运行环境jdk1.6+tomcat6+jdk与tomcat的下载、安装、配置在此略过。步骤2：安装部署cas-server?到官网（/cas/cas-server-3.5.0-release.zip）下载cas-server-3.5.0-release.zip。解压缩以后，在其路径?cas-server-3.5.0\modules?下面找到?cas-server-webapp-3.5.0.war，?将其拷贝到?tomcat?的webapps?下，?改名为?cas.war,?并修改?war?包中配置文件?perties?里的?cas server name=cas?并启动?tomcat，?启动后可在浏览器访问?http://localhost:8080/cas/login当出现如下界面时，说明?cas?服务器已经初步部署成功。此时，还不能作为有效的单点登录服务器。在实际使用的时候，还需要根据实际概况做扩展和定制，最主要的是扩展认证?(Authentication)?接口和?cas-server的界面（这部分内容以后再详述）。其中红色部分提示当前登录的?cas?链接是不安全的，建议使用?https?协议。?步骤3：修改配置http协议等CAS默认需要tomcat配置SSL协议，使用https协议通信的。由于项目是企事业单位内部的系统，不需要这么高的安全级别，可以简化操作，不走SSL协议。修改下配置文件\WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml，如下，将默认的true改成false即可。清单 1. ticketGrantingTicketCookieGenerator 配置?<bean?id="ticketGrantingTicketCookieGenerator"???????class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"??????p:cookieSecure="false"??????p:cookieMaxAge="-1"??????p:cookieName="CASTGC"??????p:cookiePath="/cas"?/>修改 cas\WEB-INF\spring-configuration\warnCookieGenerator.xml 配置文件，将 p:cookieSecure="true” 改为 p:cookieSecure="false" ，改完后如下：清单 2. warnCookieGenerator 配置?<bean?id="warnCookieGenerator"???????class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"??????p:cookieSecure="false"??????p:cookieMaxAge="-1"??????p:cookieName="CASPRIVACY"??????p:cookiePath="/cas"?/>修改 d