一、Tomcat 的 SSL的配置
1.生成server key
以命令方式換到目錄%TOMCAT_HOME%����,在command命令行輸入如下命令:
Keytool -genkey -alias tomcat_key -keyalg RSA -storepass changeit -keystore server.keystore -validity 3600
用戶名輸入域名���,如localhost(開發(fā)或測試用)或hostname.domainname(用戶擁有的域名),其它全部以Enter跳過,最后確認��,此時會在%Tomcat_home%下生成server.keystore文件。
注:參數(shù)-validity指證書的有效期(天),缺省有效期很短,只有90天���。
2.將證書導(dǎo)入的JDK的證書信任庫中
這步對于Tomcat的SSL配置不是必須���,但對于CAS SSO是必須的����,否則會出現(xiàn)如下錯誤:
Edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate PRoxyTicketValidate.
導(dǎo)入過程分2步��,第一步是導(dǎo)出證書,第二步是導(dǎo)入到證書信任庫�����,命令如下:
Keytool -export -trustcacerts -alias tomcat_key -file server.cer -keystore server.keystore -storepass changeit
Keytool -import -trustcacerts -alias tomcat_key -file server.cer -keystore C:/”Program Files”/java/jdk1.7.0_01/jre/lib/security/cacerts -storepass changeit
如果有提示�,輸入Y就可以了�����。
其它有用keytool命令(列出信任證書庫中所有已有證書�,刪除庫中某個證書):
keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts >t.txt
keytool -delete -trustcacerts -alias tomcat_key -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit
3.配置Tomcat
在Tomcat的server.xml配置文件中加入:
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
port="8443" minSpareThreads="5" maxSpareThreads="75"
enableLookups="true" disableUploadTimeout="true"
acceptCount="100" maxThreads="200"
scheme="https" secure="true" SSLEnabled="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="C:/Program Files/Apache Software Foundation/Tomcat 7.0/server.keystore"
truststoreFile="C:/Program Files/Java/jdk1.7.0_01/jre/lib/security/cacerts"
keystorePass="changeit"/>
二���、部署CAS Server到Tomcat
本文使用的CAS Server版本是3.5.2��,下載地址:https://www.apereo.org/cas/download。部署CAS Server的步驟如下:
1. 到CAS網(wǎng)站下載CAS Server�����。
2. 解壓壓縮文件�����,在解壓后的文件夾內(nèi)找到/modules/ cas-server-webapp-3.5.2.war�����,將cas-server-webapp-3.5.2.war復(fù)制到%Tomcat_Home%/webapps下并改名為cas.war.
3. 啟動Tomcat�,測試https://localhost:8443/cas/login看是否訪問正常。
4. 修改配置文件deployerConfigContext.xml�����。(可選)
CAS Server默認登陸驗證方式是SimpleTestUsernamePasswordAuthenticationHandler,也就是用戶名和密碼一致都可以登陸�����;但我們通常需要從數(shù)據(jù)庫中取出用戶名和密碼進行驗證�����,所以我們需要修改deployerConfigContext.xml,配置我們自己的服務(wù)認證方式:
(1) 在deployerConfigContext.xml添加數(shù)據(jù)源dataSource和密碼加密器passWordEncoder配置��。
<!-- 數(shù)據(jù)庫連接信息 -->
<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName"><value>com.MySQL.jdbc.Driver</value></property>
<property name="url"><value>jdbc:mysql://192.168.0.210:3306/cas_demo</value></property>
<property name="username"><value>root</value></property>
<property name="password"><value>root123</value></property>
</bean>
<!-- 密碼加密器 -->
<bean id="md5PasswordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder">
<constructor-arg index="0"><value>MD5</value></constructor-arg>
</bean>
(2) 注釋掉SimpleTestUsernamePasswordAuthenticationHandler�,添加QueryDatabaseAuthenticationHandler:
<!-- CAS Server從數(shù)據(jù)庫中獲取用戶信息進行認證 -->
<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
<property name="dataSource" ref="dataSource"></property>
<property name="sql" value="select password from sys_user_info where username=?"></property>
<property name="passwordEncoder" ref="MD5PasswordEncoder"></property>
</bean>
(3) 添加cas-server-support-jdbc-3.5.2.jar、mysql-connector-java-5.1.25.jar、 commons-pool-1.3.jar���、commons-dbcp-1.2.2.jar等jar包到WEB-INF/lib����。
(4) 啟動tomcat����,測試https://localhost:8443/cas/login看是否訪問正常�。三���、部署CAS Client到應(yīng)用
本文使用的CAS Client版本為3.3.3�����,下載地址:http://downloads.jasig.org/cas-clients/ ����。
部署CAS Client的步驟如下:
1. 如果是Maven項目的話添加cas client的依賴:<dependency>
<groupId>org.jasig.cas.client</groupId>
<artifactId>cas-client-core</artifactId>
<version>3.3.3</version>
</dependency>
否則,下載cas-client-core-3.3.3.jar,并將其放入項目的WEB-INF/lib�����。
2. 配置web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
id="WebApp_ID" version="3.0">
<display-name>CAS CLIENT DEMO</display-name>
<!-- 用于單點退出����,該過濾器用于實現(xiàn)單點登出功能,可選配置 -->
<listener>
<listener-class>
org.jasig.cas.client.session.SingleSignOutHttpSessionListener
</listener-class>
</listener>
<!-- 該過濾器用于實現(xiàn)單點登出功能,可選配置�����。 -->
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責用戶的認證工作,必須啟用它 -->
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>https://localhost:8443/cas/login</param-value>
</init-param>
<!-- 這里的serverName是服務(wù)端的ip -->
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責對Ticket的校驗工作��,必須啟用它 -->
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>https://localhost:8443/cas</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>http://localhost:8080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責實現(xiàn)HttpServletRequest請求的包裹�, 比如允許開發(fā)者通過
HttpServletRequest的getRemoteUser()方法獲得SSO登錄用戶的登錄名����,可選配置。 -->
<filter>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<filter-class>
org.jasig.cas.client.util.HttpServletRequestWrapperFilter
</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 該過濾器負責把ticket驗證后產(chǎn)生的Assertion放入ThreadLocal中���,以便 不能訪問web層的資源使用����。該過濾器可以使得開發(fā)者可以通過org.jasig.cas.client.util.AssertionHolder來獲取用戶的登錄名����。比如AssertionHolder.getAssertion().getPrincipal().getName()。 -->
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- ======================== 單點登錄結(jié)束 ======================== -->
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>
</web-app>
3. 打包部署CAS Client。
