最近一直在研究cas登录中心这一块的应用,分享一下记录的一些笔记和心得。后面会把cas-server端的配置和重构,另外还有这几天再搞nginx+cas的https反向代理配置,以及cas的证书相关的知识分享出来。
Cas由两部分组成,Cas Server和Cas Client。Cas Server是Cas自己的服务端,而Cas Client是Cas客户端,往往客户端需要和我们具体的业务系统进行集成,这里我们主要详述cas 客户端的配置以及实例
第一步:
我们得有一个现成的web项目,然后我们要加入cas-client-core-xxx.jar到classpath;
maven项目用这个:
<dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>cas-client-core</artifactId> <version>3.3.3</version> </dependency>
这里我使用 cas-client-core-3.3.3.jar,顺便推荐一个用来搜索和下载引用包的网站,我一般从这里下载引用包:http://mvnrepository.com/artifact/org.jasig.cas.client/cas-client-core/3.3.3
第二步:配置Filter
我们需要在应用的web.xml文件中配置四个Filter,这四个Filter必须按照固定的顺序来进行配置,而且它们必须配置在应用的其它Filter之前。它们的先后顺序要求如下:
1、AuthenticationFilter
2、TicketValidationFilter
3、HttpServletRequestWrapperFilter
4、AssertionThreadLocalFilter
1.1、 配置AuthenticationFilter
1.1.1、AuthenticationFilter有两个必须指定的参数:
casServerLoginUrl用来指定Cas Server登录地址,serverName或service用来指定认证成功后需要跳转地址。
补充:
service和serverName一般只需要指定一个,如果都指定了,参数service将具有更高的优先级,即以service指定的参数值为准。
service和serverName的区别:
service指定的是一个确定的URL,认证成功后就会确切的跳转到service指定的URL;
serverName用来指定主机名,格式为{http/https}:{主机名}:{端口号}
如:https://localhost:8335,当指定的是serverName时,AuthenticationFilter将会把它附加上当前请求的URI,以及对应的查询参数来构造一个确定的URL,如指定serverName为“http://localhost”,而当前请求的URI为“/login”,查询参数为“user=123&pwd=123”,则对应认证成功后的跳转地址将为“http://localhost/login?user=123&pwd=123”。)
AuthenticationFilter可以指定如下可选参数:
renew:当指定renew为true时,在请Cas Server时将带上参数“renew=true”,默认为false。
gateway:指定gateway为true时,在请求Cas Server时将带上参数“gateway=true”,默认为false。
artifactParameterName:指定ticket对应的请求参数名称,默认为ticket。
serviceParameterName:指定service对应的请求参数名称,默认为service。
例如,我是这样配置的:
<filter>
<filter-name>casAuthenticationFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>https://cas.eguid.cn:8335/cas-server/</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://sso.eguid.cn:8080/</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>casAuthenticationFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
1.2、配置TicketValidationFilter
请求通过AuthenticationFilter的认证之后,如果请求中携带了参数ticket则将会由TicketValidationFilter来对携带的ticket进行校验。
TicketValidationFilter只是对验证ticket的这一类Filter的统称,其并不对应Cas Client中的一个具体类型。
Cas Client中有多种验证ticket的Filter,都继承自AbstractTicketValidationFilter,它们的验证逻辑都是一致的,都有AbstractTicketValidationFilter实现,不同的是使用的TicketValidator不一样。这里我们使用Cas10TicketValidationFilter,也可以使用Cas20ProxyReceivingTicketValidationFilter或者Saml11TicketValidationFilter。
<filter>
<filter-name>casTicketValidationFilter</filter-name>
<filter-class>org.jasig.cas.client.validation.Cas10TicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>https://cas.eguid.cn:8335/cas-server/</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://sso.eguid.cn:8080/</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>casTicketValidationFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
必须指定的参数:
casServerUrlPrefix 用来指定Cas Server对应URL地址的前缀,如上面示例的“https://cas.eguid.cn:8335/cas-server。
serverName或service:与前面的用法相同。
可选参数:
redirectAfterValidation :表示是否验证通过后重新跳转到该URL,但是不带参数ticket,默认为true。
useSession : 在验证ticket成功后会生成一个Assertion对象,如果useSession为true,则会将该对象存放到Session中。如果为false,则要求每次请求都需要携带ticket进行验证,显然useSession为false跟redirectAfterValidation为true是冲突的。默认为true。
exceptionOnValidationFailure :表示ticket验证失败后是否需要抛出异常,默认为true。
renew: 当值为true时将发送“renew=true”到Cas Server,默认为false。
1.3、配置HttpServletRequestWrapperFilter
HttpServletRequestWrapperFilter用于将每一个请求对应的HttpServletRequest封装为其内部定义的CasHttpServletRequestWrapper,该封装类将利用之前保存在Session或request中的Assertion对象重写HttpServletRequest的getUserPrincipal()、getRemoteUser()和isUserInRole()方法。这样在我们的应用中就可以非常方便的从HttpServletRequest中获取到用户的相关信息。
<filter>
<filter-name>casHttpServletRequestWrapperFilter</filter-name>
<filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>casHttpServletRequestWrapperFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
1.4、配置AssertionThreadLocalFilter
AssertionThreadLocalFilter可以在应用的其它地方获取Assertion对象,找个过滤器会把Assertion对象存放到当前的线程变量中,我们在程序的任何地方都可以从线程变量中获取当前Assertion,就不需要再从Session或request中进行解析了。这个线程变量是由AssertionHolder持有的,我们在获取当前的Assertion时也只需要通过AssertionHolder的getAssertion()方法获取即可,如:
Assertion assertion = AssertionHolder.getAssertion();
我是这样配置的:
<filter>
<filter-name>casAssertionThreadLocalFilter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>casAssertionThreadLocalFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
cient端到这里就配置完成了,随便写个页面,把这个应用部署到tomcat容器测试一下,尝试打开页面,你会发现跳转进入了cas-server(cas服务端)的登录页面。
当你真的登录成功后,你会发现,你回不到原来页面了!怎么办?其实我们只要在前端给他一个参数就行了,可以这样简单实现这个功能:
//登录中心url
var loginCenter = "https://cas.eguid.cn:8335/cas-server";
function getUrl() {
var hostname = location.href;
return hostname;
}
//登陆
function login() {
location.href = loginCenter + "/login?service=" + getUrl();
}
//登录中心执行登出操作
function logoutServ()
{
alert("开始登出");
var loginUrl = loginCenter + "/login?service=" + getUrl();
location.href = loginCenter + "/logout?service=" + loginUrl;
}
在页面上的你得有登录和退出两个按钮,分别调用login()和logoutServ()方法。
其实这里还有个小问题,就是虽然你在cas-server端注销了,你会发现它依然会认为你现在是登录状态,所以没有拦截你的请求。
这是因为它时基于session验证的,你的server端session已经注销了,但是客户端应用这里的session还没有注销
一般我们会使用共享session的方法解决这个问题,另外有个简单的方法就是你可以在后台写个用来注销当前用户session的接口。