CAS 5.2.x 单点登录 - 搭建服务端和客户端 - 简书登录注册写文章首页下载APP会员IT技术CAS 5.2.x 单点登录 - 搭建服务端和客户端Sumkor关注赞赏支持CAS 5.2.x 单点登录 - 搭建服务端和客户端一、简介
单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
CAS 是一个开源的企业级单点登录系统，目前最新版本为 5.2.x。
CAS 包含两个部分：CAS Server 和 CAS Client，它们之间独立部署。CAS 客户端拦截未认证的用户请求，并重定向至 CAS 服务端，由 CAS 服务端对用户身份进行统一认证。
二、搭建服务端
对于本地搭建 CAS 服务端，官方提供了基于 Maven 和 Gradle 的 Overlay 构建方式，本文用的是 CAS Maven WAR Overlay。
2.1 什么是 WAR Overlay?
Overlay 技术可以把多个项目 war 合并成为一个项目，如果项目存在同名文件，那么主项目中的文件将覆盖掉其他项目的同名文件。
使用 Overlay 无需对 CAS 源码进行编译，也避免了对 CAS 源码进行侵入性改造。
2.2 环境清单
JDK 1.8
Tomcat 8.0+
IntelliJ IDEA 2017.2
2.3 Overlay 构建
下载 CAS Maven WAR Overlay，修改 pom.xml ，设置 CAS 版本为 5.2.2。建议去除掉 pom.xml 文件中的 wrapper-maven-plugin 和无用的 profile 配置。
<properties>
<cas.version>5.2.2</cas.version>
</properties>
首次导入 IDEA，可以看到后台正在下载官方 cas.war。
CAS Maven Overlay
工程 overlays 目录下的文件是由 maven 编译后才产生的，可以在 pom.xml 中配置官方 cas.war 中的文件的那些文件可以排除，不要在 overlays 中生成：
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-war-plugin</artifactId>
<version>2.6</version>
<configuration>
<warName>cas</warName>
<failOnMissingWebXml>false</failOnMissingWebXml>
<recompressZippedFiles>false</recompressZippedFiles>
<archive>
<compress>false</compress>
<manifestFile>${manifestFileToUse}</manifestFile>
</archive>
<overlays>
<overlay>
<groupId>org.apereo.cas</groupId>
<artifactId>cas-server-webapp${app.server}</artifactId>
<!--原有的服务不再初始化进去-->
<excludes>
<exclude>WEB-INF/classes/services/*</exclude>
<exclude>WEB-INF/classes/application.*</exclude>
</excludes>
</overlay>
</overlays>
</configuration>
</plugin>
打开 Project Structure，可以观察到该工程具有两个 Web Root，但是 src/main/webapp 目录并不存在，需要进行手动创建。
Project Structure
拷贝 overlays 目录下的 application.properties 配置文件至 resources 目录，用于覆盖 CAS WAR 中的同名文件。最终工程目录结构如下：
Project Structure
为工程配置 tomcat 8.0 并启动，注意 CAS 5.2.x 不支持低于 tomcat 8.0 的版本。
看到控制台打印 READY 表明启动成功。
CAS Server Ready
访问 http://localhost:8080/cas/login 进入登录界面。
登录界面
其中Non-secure Connection提示需要配置 SSL，Static Authentication提示需要对用户配置进行修改，可以修改为 JDBC、REST 等方式。目前用户配置写死在 application.properties 配置文件中，用户名为 casuser，密码为 Mellon。
##
# CAS Authentication Credentials
cas.authn.accept.users=casuser::Mellon
2.4 Services配置
客户端接入 CAS 首先需要在服务端进行注册，否则客户端访问将提示“未认证授权的服务”警告：
未认证授权的服务
在 resources 文件夹下创建 services 文件夹进行服务定义，该目录中可包含多个 JSON 文件，其命名必须满足以下规则：
JSON fileName = serviceName + "-" + serviceNumericId + ".json"
创建 services/Localhost-10000003.json 文件，表示允许所有以 http://localhost 开头的认证请求：
"@class": "org.apereo.cas.services.RegexRegisteredService",
"serviceId": "^(http)://localhost.*",
"name": "本地服务",
"id": 10000003,
"description": "这是一个本地允许的服务，通过localhost访问都允许通过",
"evaluationOrder": 1
对其中属性的说明如下，更多详细内容见官方文档-Service-Management。
@class：必须为org.apereo.cas.services.RegisteredService的实现类
serviceId：对服务进行描述的表达式，可用于匹配一个或多个 URL 地址
name： 服务名称
id：全局唯一标志
evaluationOrder：定义多个服务的执行顺序
最后，根据官方文档-service-registry，还需修改 application.properties 文件告知 CAS 服务端从本地加载服务定义文件：
#开启识别json文件，默认false
cas.serviceRegistry.initFromJson=true
#自动扫描服务配置，默认开启
#cas.serviceRegistry.watcherEnabled=true
#120秒扫描一遍
#cas.serviceRegistry.repeatInterval=120000
#延迟15秒开启
#cas.serviceRegistry.startDelay=15000
#资源加载路径
#cas.serviceRegistry.config.location=classpath:/services
启动时打印以下日志，说明服务注册成功。
2018-03-18 23:36:08,660 INFO [org.apereo.cas.services.AbstractServicesManager] - <Loaded [0] service(s) from [InMemoryServiceRegistry].>
2018-03-18 23:36:08,876 INFO [org.apereo.cas.config.CasServiceRegistryInitializationConfiguration] - <Attempting to initialize the service registry [InMemoryServiceRegistry] from service definition resources found at [class path resource [services]]>
2018-03-18 23:36:08,877 WARN [org.apereo.cas.services.ServiceRegistryInitializer] - <Service registry [InMemoryServiceRegistry] will be auto-initialized from JSON service definitions. This behavior is only useful for testing purposes and MAY NOT be appropriate for production. Consider turning off this behavior via the setting [cas.serviceRegistry.initFromJson=false] and explicitly register definitions in the services registry.>
2018-03-18 23:36:09,283 INFO [org.apereo.cas.services.AbstractServicesManager] - <Loaded [3] service(s) from [InMemoryServiceRegistry].>
三、搭建客户端
在官方文档中提供了 CAS Java 客户端样例，即 cas-sample-java-webapp。
修改 pom.xml，配置 tomcat7-maven-plugin：
<!-- tomcat7 plugin -->
<plugin>
<groupId>org.apache.tomcat.maven</groupId>
<artifactId>tomcat7-maven-plugin</artifactId>
<version>2.2</version>
<configuration>
<port>8181</port>
<uriEncoding>UTF-8</uriEncoding>
<server>tomcat7</server>
<path>/node1</path>
</configuration>
</plugin>
CAS Client 通过拦截器将未认证的请求重定向到 CAS Server，这里对 cas-sample-java-webapp 的 web.xml 文件进行修改，将服务端、客户端地址替换为实际测试的地址：
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
<!--
<context-param>
<param-name>renew</param-name>
<param-value>true</param-value>
</context-param>
-->
<!--单点登出过滤器-->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:8080/cas</param-value>
</init-param>
</filter>
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!--用来跳转登录-->
<filter>
<filter-name>CAS Authentication Filter</filter-name>
<!--<filter-class>org.jasig.cas.client.authentication.Saml11AuthenticationFilter</filter-class>-->
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>http://localhost:8080/cas/login</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<!--这是客户端的部署地址，认证时会带着这个地址，认证成功后会跳转到这个地址-->
<param-value>http://localhost:8181/node1</param-value>
</init-param>
</filter>
<!--Ticket校验过滤器-->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<!--<filter-class>org.jasig.cas.client.validation.Saml11TicketValidationFilter</filter-class>-->
<filter-class>org.jasig.cas.client.validation.Cas30ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>http://localhost:8080/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8181/node1</param-value>
</init-param>
<init-param>
<param-name>redirectAfterValidation</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>useSession</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>authn_method</param-name>
<param-value>mfa-duo</param-value>
</init-param>
</filter>
<!-- 该过滤器负责实现HttpServletRequest请求的包裹，比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，可选配置-->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()-->
<!--<filter>
<filter-name>CASAssertion Thread LocalFilter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CASAssertion Thread LocalFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>-->
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>CAS Authentication Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<welcome-file-list>
<welcome-file>
index.jsp
</welcome-file>
</welcome-file-list>
</web-app>
此时访问
http://localhost:8181/node1
会跳转至
http://localhost:8080/cas/login?service=http%3A%2F%2Flocalhost%3A8181%2Fnode1%2F
输入用户信息，登录成功，返回
http://localhost:8181/node1/;jsessionid=6628138DCAAA5BA3481CD4C9238FEBFF
CAS Client
利用相同的方法配置第二个客户端，访问地址为 http://localhost:8282/node2，可知在 node1 登录成功的情况下，无需再次输入用户密码即可访问 node2 后台页面。
至此，开发环境搭建完毕。由于客户端只是对 web.xml 中的过滤器进行配置，可以很方便地集成到各个业务系统中。
推荐阅读更多精彩内容Spring CloudSpring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具（例如配置管理，服务发现，断路器，智...卡卡罗2017阅读 131,393评论 18赞 138CAS单点登录服务端和客户端的搭建【环境说明】： 本文演示过程在同一个机器上的（也可以在三台实体机器或者三个的虚拟机上），环境如下： windows...yljava阅读 8,737评论 3赞 8SSO之CAS单点登录详细搭建教程【环境说明】：本文演示过程在同一个机器上的（也可以在三台实体机器或者三个的虚拟机上），环境如下： windows7...黄海佳阅读 8,506评论 2赞 15魯蛇列传.情与欲印帮帮主阅读 199评论 0赞 0香菜和冰淇淋才最配！10种常见食材的罕见美味搭配多年以后，邻知君吃着火锅唱着歌儿的时候，仍然会想起那个感冒的下午。当时，邻知君手里的川贝枇杷膏只剩一点点了，勤俭节...邻居知道阅读 376评论 0赞 0MySQL 新建数据库并分配登录MySQL 显示数据库 创建数据库 分配用户权限运动的布朗阅读 244评论 0赞 0世界3坐在我面前的她让我熟悉又让我陌生，这是我最后的朋友，我不能失去她。“忘了他吧，你有更好的生活，不要再浪费在他的身上...否名阅读 302评论 0赞 2评论0赞22赞3赞赞赏更多好文