CAS是中央认证服务Central Authentication Service的简称。最初由耶鲁大学的Shawn Bayern 开发,后由Jasig社区维护,经过十多年发展,目前已成为影响最大、广泛使用的、基于Java实现的、开源SSO解决方案。
2012年,Jasig和另一个有影响的组织Sakai Foundation合并,组成Apereo。Apereo是一个由高等学术教育机构发起组织的联盟,旨在为学术教育机构提供高质量软件,当然很多软件也被大量应用于商业环境,譬如CAS。目前CAS由Apereo社区维护。
CAS的官方网址是: https://www.apereo.org/projects/cas
工程代码网址:https://github.com/Jasig/cas
前面我们自己亲自动手实现了一个SSO,包括Nebula Server和Nebula Client,对SSO的解决思路也已非常清楚了。那现在理解这个CAS原理就非常容易了,同理,CAS也提供了一个认证中心,叫CAS Server,参与登录的应用系统都会引导到CAS Server进行登录。与Nebula Client类似,各应用系统与CAS Server交互通信的登录组件叫CAS Client。
可能有的读者疑问了,既然我们按照相同原理自己都实现了SSO,为什么还要学习了解CAS?
我们知道,互联网应用及企业应用的SSO具体使用场景和要求往往千差万别,如基于上篇的SSO实现,在具体实现上需要定制化很多场景,也就是说需要一定量的开发定制工作。而成熟开源的CAS,很多情况下,考虑了这些具体场景,直接在框架上面做应用开发比从零基础底层技术开发要轻松的多。
如CAS Client,已经提供了包括Java、.net、php、ruby、perl等多种语言的实现,非常适合异构系统的单点登录使用场景。再比如认证方式,除了常见的基于数据库认证,还提供LDAP使用场景,同时支持各种常见认证协议,如spnego、OpenId、X509等等。
对于全局会话,CAS基于Cookie使用了自己的实现方式,而服务端的会话存储,除了缺省基于内存模式,还提供了基于ehcache、memcached等多种实现,同时提供了灵活接口便于自己定制扩展,这非常适合某些高可用性、高性能的应用场景。
因此,在一般场景下,我们不需要重新发明轮子,直接在成熟技术框架基础上开发使用即可。这也是CAS在很多互联网和企业应用中广泛使用的原因。当然,对于某些场景,如安全性因素、更特殊更高效的应用场景,在技术实力许可的情况下,通常都自己实现SSO。
简短地介绍完CAS之后,那我们就赶紧体验一下吧:
7.copy如下代码到pom.xml文件的plugins段落中,配置tomcat7运行插件。
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<version>2.2</version>
<configuration>
<uriEncoding>UTF-8</uriEncoding>
<path>/</path>
<port>80</port>
<contextReloadable>false</contextReloadable>
</configuration>
</plugin>
1.我们在host文件中再配置一个域名,www.ssoclient.com用于表示此应用系统登录网址。
2.建立一个java web maven工程,端口号设置为81,将CAS Client包配置到pom.xml中。(本例中整个工程采用spring mvc + spring,jsp为模板,同上,采用tomcat7 maven插件启动)
<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.3.3</version>
</dependency>
3.在web.xml中添加如下配置:首先配置登出listener和filter
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
接着配置认证filter,即受限资源需要先经过此fiter.注意这里面要配置认证中心登录网址,以及标识此系统应用的服务名称。
<filter>
<filter-name>CAS Authentication Filter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>**http://www.cas.com/login**</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>**http://www.ssoclient.com:81**</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Authentication Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
接下来配置验证票据ticket的filter,此作用类似于我们开发Nebula中的验证令牌token:
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>**http://www.cas.com**</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>**http://www.ssoclient.com:81**</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
最后我们配置一个Filter封装标准的HttpRequest,使得request.getRemoteUser()和request.getUserPrincipal()这两个方法可用。
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
在这样配置下,整个应用系统都是受限资源,我们定义一个一句话的首页JSP:
${user}, 你好啊! <a href="http://www.cas.com/logout">登出</a>
对应的controller也很简单:
@RequestMapping("/index.do")
public String showIndex(HttpServletRequest request, HttpServletResponse response) {
Principal principal = request.getUserPrincipal();
request.getSession().setAttribute("user", principal.getName());
return "/index";
}
准备就绪,启动运行。然后在浏览器打入网址www.ssoclient.com:81/index.do,由于整个系统资源受限需要登录,这时会立即跳入到认证中心进行登录(注意浏览器网址是不是带了一个service参数?跟我们自己开发SSO使用的returnURL有异曲同工之妙)。
输入正确的用户名密码后,又重新返回到系统应用,并显示登录后的系统首页。这个过程和我们自己开发Nebula时的系统体验是一样的。
大家是不是还注意到在认证中心登录页用户名密码输入框下面还有一个“转向其他站点前提示我”checkbox选择框,选中这个意味着什么呢?下面我们来演示一下:
首先,将配置文件WEB-INF\spring-configuration\warnCookieGenerator.xml中的p:cookieSecure变量改成false,使其在http下起作用。
然后www.cas.com进入认证中心登录页,输入账户信息admin/123123 并选中“转向其他站点前提示我”进行登录。2025 - 快车库 - 我的知识库 重庆启连科技有限公司 渝ICP备16002641号-10
企客连连 表单助手 企服开发 榜单123