神马文学网实现单点登陆(SSO)
来源:百度文库 编辑:神马文学网 时间:2024/04/27 18:57:37
在Tomcat中使用Yale CAS实现单点登陆(SSO) 文章合集
耶鲁大学开发的单点登录系统称为CAS(Central Authentication Server)被设计成一个独立的Web应用程序(cas.war)。它目前用几个Java Servlet作为实现并且通过一个Https服务器来运行。要使用单点登陆功能的Web应用作为CAS的一个客户端来运行。
由于CAS使用Https协议,所以首先要知道如何在容器中配置SSL。Tomcat的SSL配置相对其它的容器较为简单,SSL配置完成后CAS服务器一般都能正常运行了。
CAS的客户端以一个Web应用的Filter运行。当Web应用的某个功能被请求时,Filter就会拦截应用的URL,从而迫使用户到CAS服务器进行登陆。在所有不同的Web应用中,使用同一个CAS服务器进行登陆,即可达到单点登陆之目的。
本文使用同一个Tomcat(版本Tomcat5.0.30)配置CAS服务器及客户端,分别在8443端口及8080端口。下面是在Tomcat中使用Yale CAS实现单点登陆的详细步骤:
1. 安装CAS服务器
1.1. 下载CAS发行包,下载地址:
CAS 服务器: http://www.yale.edu/tp/cas/cas-server-2.0.12.zip 或
https://clearinghouse.ja-sig.org/wiki/download/attachments/924/cas-server-2.0.12.zip
CAS 客户端: http://www.yale.edu/tp/cas/cas-client-2.0.11.zip 或
https://clearinghouse.ja-sig.org/wiki/download/attachments/827/cas-client-2.0.11.zip
1.2. 将cas-server-2.0.12.zip解压,并将lib/cas.war拷贝到Tomcat的webapps下,测试CAS服务器是否发布正常,可以访问http://localhost:8080/cas/login出现登陆窗口。输入用户名密码(用户名=密码),出现登陆成功页面说明发布正常。
2. 配置Tomcat使用https协议
2.1. 使用Java自带的keytool命令,产生SERVER的证书
D:\> keytool -genkey -alias my-alias-name -keyalg RSA -keystore keystore-file
其中 my-alias-name 为别名,这行命令的作用是产生一个新的公共 / 私有钥匙对。 keystore-file 为存储钥匙和证书的文件。
命令运行后,根据提示回答。注意在开始问“你的名字”或“DName”的时候,必须填写你服务器所在域名(在局域网中测试时,使用主机名或hosts文件中注册的域名,本机可以使用localhost)。
2.2. 在Tomcat的8443端口配置SSL
在 Tomcat_Path\conf\server.xml 文件中配置 SSL 的地方,增加如下配置:
port="8443" minProcessors="5" maxProcessors="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https"
secure="true">
keystoreFile="D:/keystore-file"
keystorePass="password" clientAuth="false" protocol="TLS" />
其中,keystoreFile使用绝对路径,keystorePass为第3点输入的keystore密码。配置完成后,启动Tomcat,访问https://localhost:8443 ,访问成功说明SSL配置成功。也可以访问https://localhost:8443/cas/login 。
3. 配置 CAS客户端
以Tomcat中自带的Servlet examples应用为例,在Web应用中使用配置CAS客户端。
3.1. 在Servlet examples应用里配置CAS客户端,需修改servlets-examples/WEB-INF/web.xml,在web.xml文件中,加入如下Filter配置:
其中,第一,二个localhost都改成CAS服务器域名或主机名,第三个改成你servelt example应用域名或主机名,由于本文中CAS服务器与客户端在同一主机同一Tomcat上,所以都为localhost。若不在同一主机,则分别使用两主机的域名或主机名。
3.2. 将cas-client-2.0.11.zip解压,把java/lib/casclient.jar拷贝到Tomcat的
webapps/servlets-examples/WEB-INF/lib目录下(如果没有就建一个)
3.3. 导出SERVER的证书,用来给所有需要用到的客户端导入
D:\> keytool -export -file myserver.cert -alias my-alias-name -keystore keystore-file
3.4. 在客户端的JVM里导入信任的SERVER的证书,输入keystore密码时,注意现在的keystore为cacerts,而cacerts的初密码为changeit,而不是前面keystore-file的密码,所以要是没有改过cacerts密码应该输入changeit.
D:\> keytool -import -keystore $JAVA_HOME/jre/lib/security/cacerts -file myserver.cert -alias my-alias-name
其中,$JAVA_HOME改成JDK的绝对路径。
4. 测试SSO
启动Tomcat,访问 http://localhost:8080/servlets-examples/ ,随便执行一个servlet,系统会自动跳转到一个验证页面,随便输入一个相同的账号,密码,认证通过之后,就会访问到你点击的servlet了。
CAS (Central Authentication Service)是Yale大学的ITS开发的一套JAVA实现的开源
的SSO(single sign-on)的服务。
这里用一个简单的例子来说明用CAS来实现单点登陆(SSO)。
Yale CAS Server 的配置过程
CAS (Central Authentication Service)是Yale大学的ITS开发的一套JAVA实现的开源
的SSO(single sign-on)的服务。该服务是以一个java web app(eg:cas.war)来进行服务的,
使用时需要将cas.war发布到一个servlet2.3兼容的服务器上,并且服务器需要支持SSL,
在需要使用该服务的其他服务器(客户),只要进行简单的配置就可以实现SSO了。
CAS 的客户端可以有很多种,因为验证的结果是以XML的格式返回的,CAS的客户端已
打包进去的有java,perl,python,asp,apache module等好几种客户端示例,你还可以根据
需要实现一个自己的客户端,非常简单!~
下面我们以tomcat 5.0 作为CAS Server(server1),另外一台tomcat5.0 为client(client1)
为例进行说明。
1.下载cas-server和cas-client(可选,建议使用)
http://www.yale.edu/tp/cas/cas-server-2.0.12.zip
http://www.yale.edu/tp/cas/cas-client-2.0.11.zip
2.将cas-server-2.0.12.zip解压,并将lib/cas.war拷贝到server1的webapps下
3.产生SERVER的证书
keytool -genkey -alias my-alias-name -keyalg RSA -keystore keystore-file
4.在server1配置tomcat使用HTTPS
$CATALINA_HOME/conf/server.xml里
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" debug="0" scheme="https"
secure="true">
keystorePass="your-password" clientAuth="false" protocol="TLS" />
5.在要使用CAS的客户端client1里设置(以servlets-examples这个APP为例),我们使用
ServletFilter(CAS client里提供的)来实现SSO的检查。
修改servlets-examples/WEB-INF/web.xml
6.将cas-client-2.0.11.zip解压,把java/lib/casclient.jar拷贝到client1服务器上的
webapps/servlets-examples/WEB-INF/lib目录下(如果没有就建一个)
7.导出SERVER的证书,用来给所有需要用到的客户端导入
keytool -export -file myserver.cert -alias my-alias-name -keystore keystore-file
8.在客户端的JVM里导入信任的SERVER的证书(根据情况有可能需要管理员权限)
keytool -import -keystore $JAVA_HOME/jre/lib/security/cacerts -file myserver.cert -alias my-alias-name
9.test & done.
把server1和client1分别起来,检查启动的LOG是否正常,如果一切OK,就访问
http://client1:8080/servlets-examples/servlet/HelloWorldExample
系统会自动跳转到一个验证页面,随便输入一个相同的账号,密码,严正通过之后就会访问
到真正的HelloWorldExample这个servlet了
最近在项目中集成了CAS 结合Acegi来作单点登陆。感觉CAS虽然简单,用起来还是很爽的。不过前几天发布一个子系统的时候出现了下面的问题。
edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator < cas:authenticationFailure code = ' INVALID_SERVICE ' > ticket ' ST-74-yBBJRjb3qnFle0Ynhq7sgUsdaox9nPoFbGu-20 ' does not match supplied service
经排查,发现是CAS java client2.1.1 与Tomcat 5.5.16配合有问题。查看log,发现Cas Server端解析出的service URL前后相差了一个“?”,怀疑是cas client在新版tomcat下生成 service URL时出现问题,检查client代码,定位到edu.yale.its.tp.cas.client.Util的getService方法,跟踪了一下,发现
if (request.getQueryString() != null ) 
{
// first, see whether we've got a 'ticket' at all int ticketLoc = request.getQueryString().indexOf( " ticket= " ); // if ticketLoc == 0, then it's the only parameter and we ignore // the whole query string // if no ticket is present, we use the query string wholesale if (ticketLoc == - 1 ) sb.append( " ? " + request.getQueryString()); else if (ticketLoc > 0 ) 
{ ticketLoc = request.getQueryString().indexOf( " &ticket= " ); if (ticketLoc == - 1 ) { // there was a 'ticket=' unrelated to a parameter named // 'ticket' sb.append( " ? " + request.getQueryString());
} else if (ticketLoc > 0 ) { // otherwise, we use the query string up to "&ticket=" sb.append( " ? " + request.getQueryString().substring( 0 , ticketLoc)); } } 
}
发现对于没有参数的http请求,request.getQueryString()函数在Tomcat5.5.15中是返回null,而5.5.16中是返回""。到这里问题就清楚了,看来yale的这帮学生代码写得还是有点业余呀,直接加上对空string判断的逻辑,问题解决。
这个bug我已经提交到cas的jira上了,应该很快可以fix了,在新版本client没有发布前,可以使用附件压缩包中的jar替换casclient.jar。
casclient.zip
Yale CAS项目总结
SSO总会有一个结束的时候,我最终把CAS Server 2.0放到Weblogic Portal上,并实现了到其他WebApp的单点登陆。困难比我原先想象的要大,总结几点,希望对来者有所帮助。
1,搞SSO前请先熟悉SSL/PKI,因为,CAS的安全性很大程度依赖于SSL,没有安全性,不敢想象SSO有何作为。
2,因为我们的环境是在Weblogic Portal上,Portal环境上,调试CAS费了我好大力气,加之我重写了CAS的LoginModule(CAS不提供J_Security_check登陆方式),中途抛出的错误很多,访问BEA Support网站是家常便饭了。
3,CAS需要配置信任证书,如果象我那样一步一步地创建根CA,ServerCA,恐怕会比较辛苦,但证书的确让我高枕无忧,从CAS Server和各个Web应用之间建立一种更松耦合的信任关系。
4,IE端到CAS Server的双向SSL虽是画蛇添足,但是在一些高安全性的SSO环境,如网上付费,付出少许的计算代价,即让身份欺诈无所遁形。
冷静下来,想了一下SSO的用处,看来在互连星空中会有卖点,事实上,电信已经使用了SSO了,联通在信平台也在各SP与MISC之间部署SSO,随着B2B,B2C的发展,相信SSO会有很不错的前途。
我个人对CAS的评价是,
PureJava Impl,OpenSource,能轻松在各种WebServer间移植,协议并没有Kerberos那么复杂(当然Kerberos更安全),所以使用和调试起来,没有Kerberos那么痛苦。实战中,本人更倾向使用CAS 3.0,基于Spring的一种实现方式,将来有空必为此写一Blog.
的SSO(single sign-on)的服务,http://www.yale.edu/tp/cas/ cas分为服务端和客户端,在服务端开启SSL,服务器下发证书安装到各个客户端中,客户端在与服务器进行通讯验证时,将检验二者的证书是否一致。 1、服务器中生成证书:keytool -genkey -alias cnc -keystore c:\mykeystore 导出证书,由客户端安装: keytool -export -alias -keystore c:\mykeystore -file c:\mycerts.cer 注:生成证书时,CN要和服务器的域名相同,如果在本地测试,则使用localhost 2、客户端配置:(注:使用client2.0.11版本稳定些,2.0.10总报异常) 将服务器下发的证书导入到JVM中 keytool -import -trustcacerts -alias cnc -keystore $JAVA_HOME/JRE/LIB/SECURITY/CACERTS -file c:\mycert.cer (如果这样不行,则到JAVA_HOME/JRE/LIB/SECURITY/下进行) 配置web.xml:
当前CAS默认的用户名和密码判断是,只要用户名和密码相同即可。使用的类为SampleHandler,一般的是与数据库进行匹配,这样我们可以实现PasswordHandler接口, 在authenticate()方法中进行验证。可以在容器中配置数据源,使用容器提供的数据源。
同时修改服务器下CAS的web.xml中的配置,使用自己的类。
然后重新BUILD,将类打包,替换服务器CAS/WEB-INF/LIB下原来的包。
CAS只能提供SSO,对于角色,授权,则要在web.xml进行相应的配置
常出现的异常:“未找到可信任的证书”--主要原因为在客户端未将服务器下发的证书导入到JVM中,可以用keytool -list -alias cnc -keystore $JAVA_HOME/JRE/LIB/SECURITY/CACERTS
来查看证书是否真的导入到JVM中。
“https hostname must be www.xx.com“---主要原因为在创建keystore是,CN没设置成为服务器的域名,例如 www.auth.com.cn