单点登录基础知识

1. 开源单点登录系统 CAS

1.1 什么是单点登录

​      单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

     我们目前的系统存在诸多子系统，而这些子系统是分别部署在不同的服务器中，那么使用传统方式的 session 是无法解决的，我们需要使用相关的单点登录技术来解决。

1.2 什么是 CAS

      CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点：

【1】开源的企业级单点登录解决方案。

【2】CAS Server 为需要独立部署的 Web 应用。

【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

      从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。下图是 CAS 最基本的协议过程：

SSO 单点登录访问流程主要有以下步骤：

1. 访问服务：SSO 客户端发送请求访问应用系统提供的服务资源。

2. 定向认证：SSO 客户端会重定向用户请求到 SSO 服务器。

3. 用户认证：用户身份认证。

4. 发放票据：SSO 服务器会产生一个随机的 Service Ticket。

5. 验证票据：SSO 服务器验证票据 Service Ticket 的合法性，验证通过后，允许客户端访问服务。

6. 传输用户信息：SSO 服务器验证票据通过后，传输用户认证结果信息给客户端。

1.3 CAS 服务端部署

       Cas 服务端其实就是一个 war 包。在资源\cas\source\cas-server-4.0.0-release\cas-server-4.0.0\modules 目录下cas-server-webapp-4.0.0.war 将其改名为 cas.war 放入 tomcat 目录下的 webapps 下。启动tomcat 自动解压 war 包。浏览器输入 http://localhost:8080/cas/login ，可看到登录页面

不要嫌弃这个页面丑，我们后期可以再提升它的颜值。暂时把注意力放在功能实现上。

这里有个固定的用户名和密码 casuser /Mellon

登录成功后会跳到登录成功的提示页面

1.4 CAS 服务端配置

1.4.1 端口修改

      如果我们不希望用 8080 端口访问 CAS, 可以修改端口

    （1）修改 TOMCAT 的端口

      打开 tomcat 目录 conf\server.xml 找到下面的配置

     将端口 8080，改为 9100

   （2）修改 CAS 配置文件

      修改 cas 的 WEB-INF/cas.properties

  server.name=http://localhost:9100

1.4.2 去除 https 认证

     CAS 默认使用的是 HTTPS 协议，如果使用 HTTPS 协议需要 SSL 安全证书（需向特定的机构申请和购买） 。如果对安全要求不高或是在开发测试阶段，可使用 HTTP 协议。我们这里讲解通过修改配置，让 CAS 使用 HTTP 协议。

（1）修改 cas 的 WEB-INF/deployerConfigContext.xml找到下面的配置<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"p:httpClient-ref="httpClient"/>这里需要增加参数 p:requireSecure="false"，requireSecure 属性意思为是否需要安全验证，即HTTPS，false 为不采用

（2）修改 cas 的/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml

  找到下面配置<bean                     id="ticketGrantingTicketCookieGenerator"class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"p:cookieSecure="true"p:cookieMaxAge="-1"p:cookieName="CASTGC"p:cookiePath="/cas" />参数 p:cookieSecure="true"，同理为 HTTPS 验证相关，TRUE 为采用 HTTPS 验证，FALSE 为不采用 https 验证。参数 p:cookieMaxAge="-1"，是 COOKIE 的最大生命周期，-1 为无生命周期，即只在当前打开的窗口有效，关闭或重新打开其它窗口，仍会要求验证。可以根据需要修改为大于 0 的数字，比如 3600 等，意思是在 3600 秒内，打开任意窗口，都不需要验证。我们这里将 cookieSecure 改为 false , cookieMaxAge 改为 3600

（3）修改 cas 的 WEB-INF/spring-configuration/warnCookieGenerator.xml找到下面配置<bean id="warnCookieGenerator"class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"p:cookieSecure="true"p:cookieMaxAge="-1"p:cookieName="CASPRIVACY"p:cookiePath="/cas" />我们这里将 cookieSecure 改为 false , cookieMaxAge 改为 3600

1.5.4 单点退出登录

    地址栏输入 http://localhost:9100/cas/logout即可看到退出后的提示页面

我们可以将这个链接添加到 index.jsp 中

<a href="http://localhost:9100/cas/logout">退出登录</a>

但我们更希望退出登录后，能自动跳转到某个页面，那如何处理呢？ 修改 cas 系统的配置文件 cas-servlet.xml

<bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction"
p:servicesManager-ref="servicesManager"
p:followServiceRedirects="${cas.logout.followServiceRedirects:true}"/>

改为 true 后，可以在退出时跳转页面到目标页面，修改 index.jsp 的退出链接

<a href="http://localhost:9100/cas/logout?service=http://www.baidu.com">退出登录</a>