神马文学网CAS及客户端Acegi的安装配置指南
来源:百度文库 编辑:神马文学网 时间:2024/04/27 18:28:23
作者:龙智 (Dragon)
时间:2006-07-09
CAS(Central Authentication Service)是耶鲁大学开发的一个开源的SSO(single sign on,单点登录)系统。它提供了丰富的客户端库,如Java, .NET, PHP, Perl等版本,使用这些库用户可以方便地给自己的应用程序加上CAS支持。Acegi security system for Spring是Spring的一个子项目,它为Java EE开发者提供了一个易于使用的提供认证和授权服务的安全框架。Acegi支持CAS,也可看作是CAS的一个Java版的Client。
以下详细介绍如何配置CAS以及应用程序,使其利用Acegi和CAS进行用户的登录和认证。我将以acegi-security-1.0.1发布包中附带的acegi-security-sample-tutorial应用为例,它使用DaoAuthenticationProvider对用户进行认证,用户帐号和权限信息保存在一个properties文件中,我将对其进行改造,改造之后,acegi-security-sample-tutorial使用CAS进行用户认证,授权信息仍从该properties文件读取,因为CAS只负责认证,不负责授权,所以授权工作交由客户端Acegi来完成,CAS的用户源配置为数据库,利用JDBC进行读取。本文需要读者对SSO和Acegi有一定的了解。
一.准备工作
下载并安装Tomcat(http://tomcat.apache.org/),本文使用的版本是5.5.15;
下载并安装MySQL(http://www.mysql.com/),本文使用的版本是5.0.16;
下载CAS服务端(http://www.ja-sig.org/products/cas/),本文使用最新的3.0.5RC2;
下载CAS-JDBC Adapter (http://developer.ja-sig.org/maven/cas/jars/cas-server-jdbc-3.0.5-rc2.jar);
下载Acegi(http://acegisecurity.org/),本文使用的版本是1.0.1;
二.安装CAS
解压缩cas-server-3.0.5-rc2.zip,拷贝target目录中的cas.war到%CATALINA_HOME%/webapps下即可。运行Tomcat,访问http://localhost:8080/cas应可看到CAS登录界面。
三.配置Tomcat支持SSL
由于CAS要求使用https和客户端进行通信,所以需要配置Tomcat支持SSL,首先介绍如何制作自签名证书以及将其导入到证书库。
1. keytool -keystore keystore -alias acegisecurity -genkey -keyalg RSA -validity 9999 -storepass password -keypass password
What is your first and last name?
[Unknown]: localhost
其他随便填写即可。
2. keytool -export -v -rfc -alias acegisecurity -file acegisecurity.txt -keystore keystore -storepass password
3. copy acegisecurity.txt %JAVA_HOME%\jre\lib\security
4. copy keystore %CATALINA_HOME %
5. cd %JAVA_HOME%\jre\lib\security
6. keytool -import -v -file acegisecurity.txt -keypass password -keystore cacerts -storepass changeit -alias acegisecurity
接下来,用编辑器打开%CATALINA_HOME%/conf/server.xml,找到
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
这一行默认是被注释掉的,取消注释,并加入keystoreFile="keystore" keystorePass="password"这两个属性,注意keystoreFile属性可以使用keystore文件的绝对路径,也可使用基于%CATALINA_HOME%环境变量的相对路径,keystorePass是访问keystore的密码,应和上面制作证书时设定的密码保持一致。
访问https://localhost:8443,应弹出一个对话框,告知用户正要访问的站点的证书不安全,是否接受,确认接受,应可看到那只熟悉可爱的小猫。
四.改造acegi-security-sample-tutorial
解压缩acegi-security-1.0.1.zip,拷贝acegi-security-sample-tutorial.war到%CATALINA_HOME%/webapps目录下,重启tomcat,acegi-security-sample-tutorial即已发布。现在我们将其改造为使用CAS进行用户的登录和认证。
用编辑器打开WEB-INF/applicationContext-acegi-security.xml,找到
将其替换为:
其中,authenticationFailureUrl是认证失败时显示的页面,acegi-security-sample-tutorial登录失败时会在登录页(acegilogin.jsp)显示失败原因,现改为使用CAS之后,acegi-security-sample-tutorial使用CAS的登录页面,故acegilogin.jsp可去掉。接下来,找到
替换为:
https://localhost:8443/cas/login
再接下来,找到
将修改为,并添加以下bean:
some_unique_key
https://localhost:8443/cas/proxyValidate
https://localhost:8443/acegi-security-sample-tutorial/j_acegi_cas_security_check
改造完毕!
五.配置CAS使用JDBC数据源进行用户认证
CAS默认设置为只要用户名和密码相同,即可进行登录,这在现实使用中是不允许的。我们修改为使用MySQL的test数据库中的app_user表作为用户数据源。首先,我们在test库中创建一个表:
CREATE TABLE `app_user` (
`username` varchar(30) NOT NULL default ‘‘,
`password` varchar(45) NOT NULL default ‘‘,
PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
并添加如下用户:
INSERT INTO `app_user` (`username`,`password`) VALUES
(‘dianne‘,‘emu‘),
(‘marissa‘,‘koala‘),
(‘peter‘,‘opal‘),
(‘scott‘,‘wombat‘);
用编辑器打开%CATALINA_HOME%/webapps/cas/WEB-INF/deployerConfigContext.xml,找到
注释掉该行,在其下加入:
并添加一个bean:
com.mysql.jdbc.Driver
jdbc:mysql://localhost:3306/test
test
test
拷贝cas-server-jdbc-3.0.5-rc2.jar和mysql-connector-java-3.1.12-bin.jar到%CATALINA_HOME%/webapps/cas/WEB-INF/lib下。
重新启动tomcat,在浏览器中输入http://localhost:8080/acegi-security-sample-tutorial,你会发现,一旦你访问了受保护的页面,请求就会被重定向到CAS的登录页面,登录成功之后请求会被再被定向到最初访问的页面,如果有多个系统,在这些系统之间进行切换将不会要求用户重新登录,这就达到了单点登录的目的.
参考文献:
Acegi security官方网站及文档:http://acegisecurity.org
CAS官方网站及文档:http://www.ja-sig.org/products/cas
SSL Configuration HOW-TO:http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
利用CAS实现SSO技术:http://kb.csdn.net/java/Articles/200606/2e082aae-775d-48be-b2fb-c2e218af9ba9.html
时间:2006-07-09
CAS(Central Authentication Service)是耶鲁大学开发的一个开源的SSO(single sign on,单点登录)系统。它提供了丰富的客户端库,如Java, .NET, PHP, Perl等版本,使用这些库用户可以方便地给自己的应用程序加上CAS支持。Acegi security system for Spring是Spring的一个子项目,它为Java EE开发者提供了一个易于使用的提供认证和授权服务的安全框架。Acegi支持CAS,也可看作是CAS的一个Java版的Client。
以下详细介绍如何配置CAS以及应用程序,使其利用Acegi和CAS进行用户的登录和认证。我将以acegi-security-1.0.1发布包中附带的acegi-security-sample-tutorial应用为例,它使用DaoAuthenticationProvider对用户进行认证,用户帐号和权限信息保存在一个properties文件中,我将对其进行改造,改造之后,acegi-security-sample-tutorial使用CAS进行用户认证,授权信息仍从该properties文件读取,因为CAS只负责认证,不负责授权,所以授权工作交由客户端Acegi来完成,CAS的用户源配置为数据库,利用JDBC进行读取。本文需要读者对SSO和Acegi有一定的了解。
一.准备工作
下载并安装Tomcat(http://tomcat.apache.org/),本文使用的版本是5.5.15;
下载并安装MySQL(http://www.mysql.com/),本文使用的版本是5.0.16;
下载CAS服务端(http://www.ja-sig.org/products/cas/),本文使用最新的3.0.5RC2;
下载CAS-JDBC Adapter (http://developer.ja-sig.org/maven/cas/jars/cas-server-jdbc-3.0.5-rc2.jar);
下载Acegi(http://acegisecurity.org/),本文使用的版本是1.0.1;
二.安装CAS
解压缩cas-server-3.0.5-rc2.zip,拷贝target目录中的cas.war到%CATALINA_HOME%/webapps下即可。运行Tomcat,访问http://localhost:8080/cas应可看到CAS登录界面。
三.配置Tomcat支持SSL
由于CAS要求使用https和客户端进行通信,所以需要配置Tomcat支持SSL,首先介绍如何制作自签名证书以及将其导入到证书库。
1. keytool -keystore keystore -alias acegisecurity -genkey -keyalg RSA -validity 9999 -storepass password -keypass password
What is your first and last name?
[Unknown]: localhost
其他随便填写即可。
2. keytool -export -v -rfc -alias acegisecurity -file acegisecurity.txt -keystore keystore -storepass password
3. copy acegisecurity.txt %JAVA_HOME%\jre\lib\security
4. copy keystore %CATALINA_HOME %
5. cd %JAVA_HOME%\jre\lib\security
6. keytool -import -v -file acegisecurity.txt -keypass password -keystore cacerts -storepass changeit -alias acegisecurity
接下来,用编辑器打开%CATALINA_HOME%/conf/server.xml,找到
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" />
这一行默认是被注释掉的,取消注释,并加入keystoreFile="keystore" keystorePass="password"这两个属性,注意keystoreFile属性可以使用keystore文件的绝对路径,也可使用基于%CATALINA_HOME%环境变量的相对路径,keystorePass是访问keystore的密码,应和上面制作证书时设定的密码保持一致。
访问https://localhost:8443,应弹出一个对话框,告知用户正要访问的站点的证书不安全,是否接受,确认接受,应可看到那只熟悉可爱的小猫。
四.改造acegi-security-sample-tutorial
解压缩acegi-security-1.0.1.zip,拷贝acegi-security-sample-tutorial.war到%CATALINA_HOME%/webapps目录下,重启tomcat,acegi-security-sample-tutorial即已发布。现在我们将其改造为使用CAS进行用户的登录和认证。
用编辑器打开WEB-INF/applicationContext-acegi-security.xml,找到
将其替换为:
其中,authenticationFailureUrl是认证失败时显示的页面,acegi-security-sample-tutorial登录失败时会在登录页(acegilogin.jsp)显示失败原因,现改为使用CAS之后,acegi-security-sample-tutorial使用CAS的登录页面,故acegilogin.jsp可去掉。接下来,找到
替换为:
再接下来,找到
将修改为,并添加以下bean:
改造完毕!
五.配置CAS使用JDBC数据源进行用户认证
CAS默认设置为只要用户名和密码相同,即可进行登录,这在现实使用中是不允许的。我们修改为使用MySQL的test数据库中的app_user表作为用户数据源。首先,我们在test库中创建一个表:
CREATE TABLE `app_user` (
`username` varchar(30) NOT NULL default ‘‘,
`password` varchar(45) NOT NULL default ‘‘,
PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
并添加如下用户:
INSERT INTO `app_user` (`username`,`password`) VALUES
(‘dianne‘,‘emu‘),
(‘marissa‘,‘koala‘),
(‘peter‘,‘opal‘),
(‘scott‘,‘wombat‘);
用编辑器打开%CATALINA_HOME%/webapps/cas/WEB-INF/deployerConfigContext.xml,找到
注释掉该行,在其下加入:
并添加一个bean:
拷贝cas-server-jdbc-3.0.5-rc2.jar和mysql-connector-java-3.1.12-bin.jar到%CATALINA_HOME%/webapps/cas/WEB-INF/lib下。
重新启动tomcat,在浏览器中输入http://localhost:8080/acegi-security-sample-tutorial,你会发现,一旦你访问了受保护的页面,请求就会被重定向到CAS的登录页面,登录成功之后请求会被再被定向到最初访问的页面,如果有多个系统,在这些系统之间进行切换将不会要求用户重新登录,这就达到了单点登录的目的.
参考文献:
Acegi security官方网站及文档:http://acegisecurity.org
CAS官方网站及文档:http://www.ja-sig.org/products/cas
SSL Configuration HOW-TO:http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
利用CAS实现SSO技术:http://kb.csdn.net/java/Articles/200606/2e082aae-775d-48be-b2fb-c2e218af9ba9.html
CAS及客户端Acegi的安装配置指南
CAS及客户端Acegi的安装配置指南
CAS及客户端Acegi的安装配置指南
CAS及客户端Acegi的安装配置指南
Acegi 的配置
Web方式安装SAV10.1客户端的配置说明
Acegi安全系统的配置
j2sdk和tomcat的安装及配置
AspectJ安装和配置指南
Ubuntu10.04安装配置指南
在Linux和Windows下搭建CVS服务器与CVS客户端的详细配置指南
viewvc 安装配置指南--贾斯汀的技术理想国
彻底剖析ISAServer客户端及配置之一
浅谈Acegi配置
JR - 精品文章 - J2SDK和TOMCAT的安装及配置
Smartphone开发工具的安装及配置方法
Smartphone开发工具的安装及配置方法
Linux操作系统下以太网卡的安装及配置
Debian下PHP的Tokyo Tyrant安装配置及测试
网卡的安装、配置
ANT介绍及安装及配置
XP+SP2下Weblogic8.X+SQL SERVER2000安装及连接池配置指南[参考高手综合帖+自己经历]
Openfiler之外篇:open-iscsi安装配置及smbclint的安装
IIS安装及配置全攻略