1 什么是单点登录

单点登录(Single Sign On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一， SSO 使得在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架

CAS 介绍

CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点：

•开源的企业级单点登录解决方案。

•CAS Server 为需要独立部署的 Web 应用。

•CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

CAS 原理和协议

从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护资源的访问请求，

需要登录时，重定向到 CAS Server

2 使用cas   jasig

1 下载服务端与客户端

服务端 http://downloads.jasig.org/cas/

客户端 http://downloads.jasig.org/cas-clients/

2 服务端安装

我使用 cas-server-3.5.2-release版本  解压后在 modules目录下有一个cas-server-webapp-3.5.2.war包(我改为cas.war包)，部署到服务器即可启动服务端  访问应用会进入登录界面，

cas默认只要用户名与密码相同就通过验证

3 客户端安装

1 编写一个web应用,客户端web应用需要到以下jar

我使用 cas-client-3.2.1-release版本  解压后在 modules目录下选择需要的jar包拷贝至你的web应用程序，我需要以下jar包

cas-client-core-3.2.1.jar

commons-codec-1.4.jar

commons-logging-1.1.jar

ehcache-core-2.2.0.jar

juli-6.0.29.jar

slf4j-api-1.5.11.jar

xmlsec-1.3.0.jar

2 web.xml中配置过滤器  以下配置是假设你的服务端应用上下文为cas

org.jasig.cas.client.session.SingleSignOutHttpSessionListener

CAS Single Sign Out Filter

org.jasig.cas.client.session.SingleSignOutFilter

CAS Single Sign Out Filter

/*

CASFilter

org.jasig.cas.client.authentication.AuthenticationFilter

casServerLoginUrl

http://localhost:8080/cas/login

serverName

http://localhost:8080

CASFilter

/*

CAS Validation Filter

org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter

casServerUrlPrefix

http://localhost:8080/cas

serverName

http://localhost:8080

CAS Validation Filter

/*

3 访问客户端应用，会进入cas的统一登录界面，因为我们在web.xml中配置了过滤器以及访问地址

4  如果我们不使用https访问，想实现单点登录，则需要修改两处

1 修改服务端下的 cas/WEB-INF/deployerConfigContext.xml

增加参数p:requireSecure="false"，是否需要安全验证，即HTTPS，false为不采用，加上去之后如下：

2、cas/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml

p:cookieSecure="true"

p:cookieMaxAge="-1"

p:cookieName="CASTGC"

p:cookiePath="/cas" />

参数p:cookieSecure="true"，同理为HTTPS验证相关，TRUE为采用HTTPS验证，FALSE为不采用https验证。

参数 p:cookieMaxAge="-1"，简单说是COOKIE的最大生命周期，-1为无生命周期，即只在当前打开的IE窗口有效，IE关闭或重新打开其 它窗口，仍会要求验证。

可以根据需要修改为大于0的数字，比如3600等，意思是在3600秒内，打开任意IE窗口，都不需要验证。

3 编写第2个web应用，配置第一个web应用一样，我们可以测试在第一个应用登陆后，再访问第2个应用已经不需要登录，实现了单点登录功能

3 单点登出

退出

4 获取登陆用户的信息 配置HttpServletRequestWrapperFilter过滤器

CAS HttpServletRequest Wrapper Filter

org.jasig.cas.client.util.HttpServletRequestWrapperFilter

CAS HttpServletRequest Wrapper Filter

/*

CAS Assertion Thread Local Filter

org.jasig.cas.client.util.AssertionThreadLocalFilter

CAS Assertion Thread Local Filter

/*

之后使用request.getRemoteUser()

5 改变默认的cas服务端

1 使用数据库登录

1 需要cas-server-support-jdbc-3.5.2.jar，该包在服务端解压后在 modules目录下，拷贝到服务端的web应用

2 修改服务端应用中的WEB-INF下的deployerConfigContext.xml

cas服务默认用户名与密码相同即可通过验证，是因为给org.jasig.cas.authentication.AuthenticationManagerImpl的属性authenticationHandlers注入org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler

把该注入去掉，换成注入org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler,该类在cas-server-support-jdbc-3.5.2.jar包中,如下

value="select password from userinfo where username = ?" />

上面的dataSource配置成自己的数据源，如

对于passwordEncoder，如果不注入,则明码验证,以下是注入的一个例子，直接使用cas提供的DefaultPasswordEncode，可自己实现PasswordEncoder接口编写加密方法

class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder" autowire="byName">

在代码中使用DefaultPasswordEncoder。如字符串"aaa"经MD5加密

DefaultPasswordEncoder encoder=new DefaultPasswordEncoder("MD5");

System.out.println(encoder.encode("aaa"));

控制台输出 47bce5c74f589f4867dbd57e9ca9f808

3   修改默认的页面

1 cas默认的页面在cas\WEB-INF\view\jsp\default\ui 下

例如：

登录界面：casLoginView.jsp

登录成功：casGenericSuccess.jsp

登出界面：casLogoutView.jsp

2 CAS 的页面采用 Spring 框架编写，在cas/WEB-INF/classes/default_views.properties 可以找到对应的视图解析,可以修改cas/WEB-INF/cas-servlet.xml ”文件中的 viewResolver，

举个例子

${cas.viewResolver.basename}

properties基础名

6 在tomcat中 使用https  需要生成证书

1 使用jdk的keytool命令生成证书

1 首先要进入“C:/Program Files/Java/jdk1.6.0_02/jre/lib/security”；其中C:/Program Files/Java/jdk1.6.0_02为jdk的安装路径；

keytool -genkey -keyalg RSA -alias tomcatsso -dname "cn=localhost" -keystore server.keystore -storepass changeit

其中cn=localhost cn不能使用ip ,cas建议使用域名

2 导出证书到证书文件server.cer

keytool -export -alias tomcatsso -file server.cer -keystore server.keystore -storepass changeit

3 导入证书到jdk

keytool -import -alias tomcatsso -file server.cer -keystore cacerts -storepass changeit

2 打开%CATALINA_HOME%/conf/server.xml,找到如下内容：

将其换成如下内容

maxThreads="150" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS"

keystorePass="changeit" keystoreFile="C:/Program Files/Java/jdk1.6.0_02/jre/lib/security/server.keystore"/>

问题 若输入错误，想重新生成证书，可先用以下两句话将已安装的证书去除

keytool -delete -alias tomcatsso -keystore cacerts

keytool -delete -alias tomcatsso -keystore server.keystore

3 恢复前面在cas服务端去掉https而修改的两处,cas就可以使用https了