Tomcat中使用Yale CAS实现单点登陆(SSO)[终稿].docVIP

耶鲁大学开发的单点登录系统称为CAS（Central Authentication Server）被设计成一个独立的Web应用程序(cas.war)。它目前用几个Java Servlet作为实现并且通过一个Https服务器来运行。要使用单点登陆功能的Web应用作为CAS的一个客户端来运行。 由于CAS使用Https协议，所以首先要知道如何在容器中配置SSL。Tomcat的SSL配置相对其它的容器较为简单，SSL配置完成后CAS服务器一般都能正常运行了。 CAS的客户端以一个Web应用的Filter运行。当Web应用的某个功能被请求时，Filter就会拦截应用的URL，从而迫使用户到CAS服务器进行登陆。在所有不同的Web应用中，使用同一个CAS服务器进行登陆，即可达到单点登陆之目的。 本文使用同一个Tomcat（版本Tomcat5.0.30）配置CAS服务器及客户端，分别在8443端口及8080端口。下面是在Tomcat中使用Yale CAS实现单点登陆的详细步骤： !--[if !supportLists]--1.?!--[endif]--安装CAS服务器 !--[if !supportLists]--1.1.?!--[endif]--下载CAS发行包，下载地址： CAS服务器：/tp/cas/cas-server-2.0.12.zip 或/wiki/download/attachments/924/cas-server-2.0.12.zip CAS客户端：/tp/cas/cas-client-2.0.11.zip 或/wiki/download/attachments/827/cas-client-2.0.11.zip !--[if !supportLists]--1.2.???? !--[endif]--将cas-server-2.0.12.zip解压，并将lib/cas.war拷贝到Tomcat的webapps下，测试CAS服务器是否发布正常，可以访问http://localhost:8080/cas/login 出现登陆窗口。输入用户名密码（用户名＝密码），出现登陆成功页面说明发布正常。 !--[if !supportLists]--2.?? !--[endif]--配置Tomcat使用https协议 !--[if !supportLists]--2.1.???? !--[endif]--使用Java自带的keytool命令，产生SERVER的证书 D:\ keytool -genkey -alias my-alias-name -keyalg RSA -keystore keystore-file 其中my-alias-name为别名，这行命令的作用是产生一个新的公共/私有钥匙对。keystore-file为存储钥匙和证书的文件。 命令运行后，根据提示回答。注意在开始问“你的名字”或“DName”的时候，必须填写你服务器所在域名（在局域网中测试时，使用主机名或hosts文件中注册的域名,本机可以使用localhost）。 !--[if !supportLists]--2.2.???? !--[endif]--在Tomcat的8443端口配置SSL 在Tomcat_Path\conf\server.xml文件中配置SSL的地方，增加如下配置： ??? Connector className=org.apache.coyote.tomcat5.CoyoteConnector ??? port=8443 minProcessors=5 maxProcessors=75 ??? enableLookups=true disableUploadTimeout=true ??? acceptCount=100 debug=0 scheme=https ??? secure=true ??? Factory className=org.apache.coyote.tomcat5.CoyoteServerSocketFactory ??? keystoreFile=D:/keystore-file ??? keystorePass=password clientAuth=false protocol=TLS / ??? /Connector 其中，keystoreFile使用绝对路径，keystorePass为第3点输入的keystore密码。配置完成后，启动Tomcat,访问https://localhost:8443 ，访问成功说明SSL配置成功。也可以访问https://localhost:8443/cas/login 。 !--[if !supportLists]-