您的位置 首页 java

CAS单点登录教程!手把手带你搭建CAS认证服务器

前言

在上一章节中, 一一哥 给各位介绍了 单点登录 的概念、执行流程原理,并且给大家介绍了 CAS 单点登录解决方案,在CAS解决方案中,我们需要搭建CAS服务端和 cas 客户端,本文就开始给大家介绍如何实现CAS服务端。在这里,我给大家介绍一个开源的CAS服务端模板cas-overlay-template,接下来请跟我一起看看怎么实现吧。

一. 搭建CAS服务器

1. 概述

为了测试我前面讲解的CAS请求执行流程,我们需要搭建一个CAS 测试环境 ,本篇内容主要是带领大家搭建一个CAS Server服务端环境。搭建CAS Server环境,需要依赖如下环境:

  • JDK 1.8+
  • Maven 3.6+

如果你还没有搭建以上这些 开发环境 ,请参考其他文章进行搭建。

2. 下载CAS Server项目

对于CAS Server服务端,我们可以自己编写,但是自己编写服务端,需要进行大量的代码实现。在本案例中,我采用网上的一个开源CAS系统进行 认证中心 的搭建,这个开源项目在 Github 上找到。

CAS开源项目地址:

3. 导入CAS Server项目

我们从Github上把CAS Server端模板项目下载下来之后,导入到 IDEA 开发工具中。当我们把CAS项目导入到IDEA后,Maven会自动下载所有相关依赖及插件,最主要的是cas-overlay模块,但是下载过程中,可能会有部分插件无法导入,忽略这些即可,影响不大。

4. cas-overlay项目的pom.xml文件

 <?xml version="1.0" encoding="UTF-8"?>
<project xmlns=" pom /4.0.0"
         xmlns:xsi="#34;
         xsi:schemaLocation=" http:// maven .apache.org/xsd/maven-4.0.0.xsd ">

    <modelVersion>4.0.0</modelVersion>

    <groupId>org.apereo.cas</groupId>
    <artifactId>cas-overlay</artifactId>
    <packaging>war</packaging>
    <version>1.0</version>

    <properties>
        <cas.version>5.3.16</cas.version>
        < spring boot.version>1.5.18.RELEASE</springboot.version>
        <!-- app.server could be -jetty, -undertow, - tomcat , or blank if you plan to provide appserver -->
        <app.server>-tomcat</app.server>

        <mainClassName>org.springframework.boot.loader.WarLauncher</mainClassName>
        <isExecutable>false</isExecutable>
        <manifestFileToUse>${project.build.directory}/war/work/org.apereo.cas/cas-server-webapp${app.server}/META-INF/MANIFEST.MF</manifestFileToUse>

        <maven.compiler.source>1.8</maven.compiler.source>
        <maven.compiler.target>1.8</maven.compiler.target>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    </properties>

    <!--<dependencies>-->
        <!--<dependency>-->
            <!--<groupId>org.apereo.cas</groupId>-->
            <!--<artifactId>cas-server-support-jpa-service-registry</artifactId>-->
            <!--<version>${cas.version}</version>-->
        <!--</dependency>-->

        <!--<dependency>-->
            <!--<groupId>com.fasterxml.jackson.core</groupId>-->
            <!--<artifactId>jackson-databind</artifactId>-->
            <!--<version>2.9.9</version>-->
        <!--</dependency>-->
    <!--</dependencies>-->

    <build>
        <plugins>
            <plugin>
                <groupId>com.rimerosolutions.maven.plugins</groupId>
                <artifactId>wrapper-maven-plugin</artifactId>
                <version>0.0.5</version>
                <configuration>
                    <verifyDownload>true</verifyDownload>
                    < checksum Algorithm>MD5</checksumAlgorithm>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <version>${springboot.version}</version>
                <configuration>
                    <mainClass>${mainClassName}</mainClass>
                    <addResources>true</addResources>
                    <executable>${isExecutable}</executable>
                    <layout>WAR</layout>
                </configuration>
                <executions>
                    <execution>
                        <goals>
                            <goal>repackage</goal>
                        </goals>
                    </execution>
                </executions>
            </plugin>

            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-war-plugin</artifactId>
                <version>2.6</version>
                <configuration>
                    <warName>cas</warName>
                    <failOnMissingWebXml>false</failOnMissingWebXml>
                    <recompressZippedFiles>false</recompressZippedFiles>
                    <archive>
                        < compress >false</compress>
                        <manifestFile>${manifestFileToUse}</manifestFile>
                    </archive>
                    <overlays>
                        <overlay>
                            <groupId>org.apereo.cas</groupId>
                            <artifactId>cas-server-webapp${app.server}</artifactId>
                        </overlay>
                    </overlays>
                    <dependentWarExcludes>
                        <!--让war包下的 json 不进行初始化-->
                        **/services/*.json
                    </dependentWarExcludes>
                </configuration>
            </plugin>

            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.3</version>
            </plugin>
        </plugins>
        <finalName>cas</finalName>
    </build>

    <repositories>
        <repository>
            <id>sonatype-releases</id>
            <url>
            <snapshots>
                <enabled>false</enabled>
            </snapshots>
            <releases>
                <enabled>true</enabled>
            </releases>
        </repository>
        <repository>
            <id>sonatype-snapshots</id>
            <url>
            <snapshots>
                <enabled>true</enabled>
            </snapshots>
            <releases>
                <enabled>false</enabled>
            </releases>
        </repository>
        <repository>
            <id>shibboleth-releases</id>
            <url>
        </repository>
    </repositories>

    <profiles>
        <profile>
            <activation>
                <activeByDefault>true</activeByDefault>
            </activation>
            <id>default</id>
            <dependencies>
                <dependency>
                    <groupId>org.apereo.cas</groupId>
                    <artifactId>cas-server-webapp${app.server}</artifactId>
                    <version>${cas.version}</version>
                    <type>war</type>
                    <scope> runtime </scope>
                </dependency>
                <!--
                ...Additional dependencies may be placed here...
                -->
            </dependencies>
        </profile>

        <profile>
            <activation>
                <activeByDefault>false</activeByDefault>
            </activation>
            <id>exec</id>
            <properties>
                <mainClassName>org.apereo.cas.web.CasWebApplication</mainClassName>
                <isExecutable>true</isExecutable>
                <manifestFileToUse/>
            </properties>
            <build>
                <plugins>
                    <!--<plugin>-->
                        <!--<groupId>com.soebes.maven.plugins</groupId>-->
                        <!--<artifactId>echo-maven-plugin</artifactId>-->
                        <!--<version>0.3.0</version>-->
                        <!--<executions>-->
                            <!--<execution>-->
                                <!--<phase>prepare-package</phase>-->
                                <!--<goals>-->
                                    <!--<goal>echo</goal>-->
                                <!--</goals>-->
                            <!--</execution>-->
                        <!--</executions>-->
                        <!--<configuration>-->
                            <!--<echos>-->
                                <!--<echo>Executable profile to make the generated CAS web application executable.</echo>-->
                            <!--</echos>-->
                        <!--</configuration>-->
                    <!--</plugin>-->
                </plugins>
            </build>
        </profile>

        <profile>
            <activation>
                <activeByDefault>false</activeByDefault>
            </activation>
            <id>bootiful</id>
            <properties>
                <app.server>-tomcat</app.server>
                <isExecutable>false</isExecutable>
            </properties>
            <dependencies>
                <dependency>
                    <groupId>org.apereo.cas</groupId>
                    <artifactId>cas-server-webapp${app.server}</artifactId>
                    <version>${cas.version}</version>
                    <type>war</type>
                    <scope>runtime</scope>
                </dependency>
            </dependencies>
        </profile>

        <profile>
            <activation>
                <activeByDefault>false</activeByDefault>
            </activation>
            <id>pgp</id>
            <build>
                <plugins>
                    <!--<plugin>-->
                        <!--<groupId>com.github.s4u.plugins</groupId>-->
                        <!--<artifactId>pgpverify-maven-plugin</artifactId>-->
                        <!--<version>1.1.0</version>-->
                        <!--<executions>-->
                            <!--<execution>-->
                                <!--<goals>-->
                                    <!--<goal>check</goal>-->
                                <!--</goals>-->
                            <!--</execution>-->
                        <!--</executions>-->
                        <!--<configuration>-->
                            <!--<pgpKeyServer>hkp://pool.sks-keyservers.net</pgpKeyServer>-->
                            <!--<pgpKeysCachePath>${settings.localRepository}/pgpkeys-cache</pgpKeysCachePath>-->
                            <!--<scope>test</scope>-->
                            <!--<verifyPomFiles>true</verifyPomFiles>-->
                            <!--<failNoSignature>false</failNoSignature>-->
                        <!--</configuration>-->
                    <!--</plugin>-->
                </plugins>
            </build>
        </profile>
    </profiles>

</project>  

你可以参考我的pom文件内容,因为每个人的网速不同,所以有可能你会在下载依赖时导致一些问题,别担心,下载失败时多次重试下载即可。

二. keytool密钥库工具

1. 概述

因为在CAS Server中默认使用的是HTTPS网络协议,对安全性要求较高,所以需要我们生成一个本地的密钥库,而这个密钥库,我们使用JDK中自带的 Keytool证书管理工具 就可以生成。

2. 证书及作用

在上一小节中, 一一哥 就给大家提到了证书这个概念,所以我们先了解一下证书的概念及其作用。

在网络中,我们对数据进行签名(加密)是一种很常见的安全操作, 一般签名有2种作用

  • 保证数据的完整性,证明数据在传输过程中没有被篡改;
  • 防止数据的发布者否认自己曾经发布过数据。

在签名的时候,会用到 非对称性加密算法和消息摘要算法 。当我们对数据进行签名时,会先对这个数据进行消息摘要,通过摘要运算生成一个摘要信息,然后再对该摘要使用发布者的私钥进行加密。 比如支付宝支付时,需要先对订单数据进行签名,一般会将各支付参数和参数值拼接成一个字符串,这个组合的字符串也就相当于我们这里说的摘要,然后将摘要信息使用商户的私钥进行加密。

接收者(客户端)接收到加密数据后,会先使用发布者的公钥进行解密,得到原数据的摘要信息,再对接收到的数据计算摘要。如果两个摘要相同,则说明数据没有被篡改。同时,因为发布者的私钥是不公开的,只要接收者通过发布者的公钥能成功对数据进行解密,就说明该数据一定来源于该发布者。

那么怎么确定某公钥一定是属于某发布者呢?这就需要证书了。 证书是由权威认证机构颁发的,其内容包含证书拥有者的标识和它的公钥,并由权威认证机构使用它的私钥进行签名。 该证书由权威认证机构进行签名,认证机构也是通过发布它的证书来公开该机构的公钥,认证机构的证书由更权威的认证机构进行签名,这样就形成了证书链。 证书链最顶端的证书称为根证书,根证书只有自签名 。总之,要对网络上传播的内容进行签名和认证,就一定会用到证书。关于证书遵循的标准,最流行的是 X.509 标准规范。

3. Keytool简介

Keytool 是JDK中自带的数据证书管理工具 ,这个工具一般存放在JDK的\jre\bin\目录下, 利用Keytool可以生成我们需要的密钥和证书信息。这些生成的 所有数字证书都是以一条一条(采用别名来区别)的形式存入证书库中,证书库中的 每个证书都包含该条证书的私钥,公钥和对应的数字证书的信息 。证书库中的每条证书都可以导出为数字证书文件, 数字证书文件只包括主体信息和对应的公钥信息。

Keytool 会把 密钥(key) 和 证书(certificates) 存在于一个称为 keystore 的文件中,在keystore文件里,包含两种数据:

  • 密钥实体(Key entity)——私钥(secret key);
  • 可信任的证书实体(trusted certificate entries)——公钥。

4. Keytool常用命令

4.1 生成证书的命令

 #命令实例
keytool -genkey -alias yyg -keyalg RSA -keystore D:/yyg.keystore -keypass 123456 -storepass 123456 -dname "CN=xingming,OU=danwei,O=zuzhi,L=shi,ST=sheng,C=CN" 

keytool -genkey -alias yyg -keyalg RSA -keysize 1024 -validity 365 -keystore D:/yyg.keystore -keypass 123456 -storepass 123456 -dname "CN=xingming,OU=danwei,O=zuzhi,L=shi,ST=sheng,C=CN"  

4.2 查看genkey命令的参数说明

 keytool -genkey -?  

4.3 查看证书命令

 keytool -list -keystore d:/yyg.keystore -storepass 123456

keytool -list -v -keystore d:/yyg.keystore -storepass 123456 keytool -list -rfc -keystore d:/yyg.keystore -storepass 123456  

-list 列出密钥库中的条目,显示密钥库中的证书信息;

-v 显示密钥库中证书的详细信息;

-rfc 以RFC样式输出。

4.4 查看list命令的参数说明

 keytool -list -?  

4.5 导出证书到文件的命令

 #该命令由客户端执行

keytool -export -alias yyg -keystore d:\yyg.keystore -file d:\mycerts.cer -storepass 123456  

4.6 导入证书到密钥库的命令

 keytool -import -trustcacerts -alias yyg -keystore "%JAVA_HOME%/jre/lib/security/cacerts " -file d:\mycerts.cer -storepass 123456  

4.7 列出可用证书的命令

我们通过上面的命令,生成的证书可以交付客户端用户使用,用以进行SSL通讯,或者伴随电子签名的jar包进行发布者的身份认证。如果在使用证书时出现了异常:“未找到可信任的证书”,这个主要原因为在客户端未将服务器下发的证书导入到JVM中,可以用如下命令查看:

 keytool -list -alias yyg -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass 123456  

注意:

如果keytool生成根证书时出现如下错误:

 java.io.IOException:keystore was tampered with,or password was incorrect  

产生该问题的原因,可能是因为我们用户的home目录下已经有.keystore存在,如果存在的话,我们就把该文件先删除掉,然后再执行生成命令或者删除”%JAVA_HOME%/jre/lib/security/cacerts后再执行。

4.8 删除证书的命令

要删除证书库里面的某个证书,可以使用如下命令:

 keytool -delete -alias yyg -keystore cacerts -storepass 123456   

4.9 修改证书密码

 keytool -keypasswd -alias yyg -keypass 123456 -new 654321 -keystore yyg.keystore -storepass 123456  

4.10 修改密钥库存储密码

 keytool -storepasswd -new 654321 -keystore yyg.keystore -storepass 123456  

4.11 修改密钥库别名

 keytool -changealias -keystore mykeystore.keystore -alias 当前别名 -destalias 新别名  

三. 生成CAS Server密钥库

1. 生成casserver密钥库

在上一章节中,我给大家介绍了Keytool工具的使用,接下来我们利用这个Keytool工具,来生成针对CAS Server项目的密钥库文件。

我们可以先在E盘里创建一个keystore文件夹,用于存放我们接下来要生成的密钥库文件,然后执行如下命令。

 keytool -genkey -alias casserver -keyalg RSA -keystore E:\keystore\yyg.keystore  

命令执行过程效果如下图:

注意:

在“您的名字与姓氏是什么?”选项里,我们应当填写为CAS Server的域名,否则在后面进行单点登录的过程中会遇到问题。 当然如果是仅在本地进行开发测试,则域名可以随便填写,并通过配置hosts文件的方式使其生效。剩余的参数则直接回车一路默认跳过即可。

然后我们去E盘下可以看到,产生了一个名为yyg.keystore的密钥库文件。

2. 导出证书

在真实开发时,CAS Server是支持HTTPS协议的,但在进行本地开发时,我们自制的证书会影响开发测试。因为HTTPS通信协议需要考虑SSL证书的问题,本地开发时可能会产生ssl.SSLHandshakeException异常,所以我们在本地开发时需要解决这个问题。

这里我们需要把自己生成的证书导入到JDK中,而在JDK中自带了一个证书库,JDK8及以前的版本中,该证书库位于”%JAVAHOME%/jre/lib/security/cacerts”中;JDK9以后,取消了jre目录,证书位于”%JAVAHOME%/lib/security/cacerts”中。

接下来我们先将前面制作的密钥库导出证书,并将其导入到cacerts中即可。

 keytool -export -trustcacerts -alias casserver -file E:\keystore\cas.cer -keystore E:\keystore\yyg.keystore  

执行上面命令时,可以看到如下效果:

接着我们在E盘的keystore目录下,看到产生了一个cas.cer证书。

3. 导入证书

我们接下来执行如下命令,将自己产生的证书导入到JDK的密钥库中,注意修改成自己的路径。

 keytool -import -trustcacerts -alias casserver -file E:\keystore\cas.cer -keystore "C:\Program Files\Java\jre1.8.0_211\lib\security\cacerts"  

注意:

命令行需要以管理员身份执行,否则可能会没有权限。

至此,我们已经把证书添加到JDK的证书库中了。

四. 修改CAS Server配置文件

1. 概述

我们从github上下载的CAS Server项目模板,是基于overlays方式构建的,而overlays是一种对抗重复代码和资源的策略,它允许我们在多个Web工程中共享通用资源。如果仅仅搭建一个本地测试的CAS Server项目,我们只需要覆盖一些基本配置即可。

2. 配置根路径及端口号

默认情况下,CAS Server服务端的访问根路径是/cas,默认的访问端口是8443,这些信息我们都可以自己修改,本案例中我就采用默认配置了。

 #项目访问时的根路径
server.context-path=/cas

#项目访问端口号
server.port=8443  

3. 配置密钥库

我们先新建一个src/main/resources目录,将 overlays/{cas-server}/WEB-INF/classes/application.properties 配置文件复制到resources目录下,后面我们修改该配置文件即可。然后我们把前面我们生成的cas.cer和yyg.keystore密钥文件,复制到resouces目录下。

在application.properties配置文件中,主要是修改server.ssl.key-xxx相关的配置项。

 #配置秘钥库keystore文件的位置
server.ssl.key-store=classpath:yyg.keystore

#指定密钥库的口令
server.ssl.key-store-password=syc000

#指定密钥口令
server.ssl.key-password=syc000  

4. 配置用户名和密码

默认情况下,CAS Server使用casuser作为用户名,使用Mellon作为密码,如果我们要修改这个用户信息,可以修改 cas.authn.accept.users这已配置项。

 ## 认证的用户名和密码
# CAS Authentication Credentials

# 默认的用户名,casuser;默认的密码:Mellon
cas.authn.accept.users=yyg::123  

五. 启动运行CAS Server

1. 启动项目

我们配置好上面的application.properties文件之后,就可以考虑启动CAS Server项目了。

CAS Server官方为windows和mac系统都提供了运行脚本,但是兼容性一般,所以可能在启动运行时,不同的平台会有问题,本案例是在windows环境下进行启动运行。

CAS Server有2种启动方式,即可以采用war包和SpringBoot方式来启动,本案例我就采用SpringBoot方式来进行运行了,我们在IDEA开发工具的Terminal窗口中,执行如下命令即可:

 mvn spring-boot:run  

注意:

在CAS Server项目启动过程中可能会报错,但不影响正常使用,只要在控制台出现READY图案即可!

2. 配置hosts文件

我们在前面制作密钥库时,使用了cas.yyg.cn作为域名,为了让该配置生效,需要将该域名配置到我们系统的hosts文件中,并指向127.0.0.1。 配置完成之后,我们可以利用来访问CAS Server项目。

 #配置cas服务端域名
127.0.0.1 cas.yyg.cn

#配置cas客户端域名
127.0.0.1 client.cas.yyg.cn  

3. 访问CAS服务端

因为浏览器的安全限制,访问时可能会出现如下提示,选择继续前往即可。

继续前往后,就会跳转到/cas/login页面,我们输入前面设置的用户名和密码即可。

在用户名和密码正确的情况下,出现认证成功的页面。

如果出现登录成功的页面,就说明我们的CAS Server服务端已经配置成功,后面就可以把该项目作为认证中心,来接收CAS Client项目发来的认证请求了。

六. 配置客户端services信息

1. 注册服务的JSON文件

在上面我们已经把CAS Server服务端搭建好了,接下来需要把CAS Client客户端项目接入到CAS Server服务端,如果我们没有定义服务记录,客户端在访问时会提示“未验证授权的服务”。在CAS Server中,支持多种注册服务的方式,本案例中我们采用JSON声明的方式来把客户端注册到CAS Server中。

在CAS Server服务注册时,把每个JSON文件对应一个客户端服务,这个JSON文件可以命名为如下格式:

 JSON filename=servicename + "-" + serviceNumericId +".json"  

代表客户端服务的JSON文件内容如下:

 {
  "@class":"org.apereo.cas.services.RegexRegisteredService",
  "serviceId":"^#34;,
  "name":"casclient",
  "id":10000,
  "description": "cas client based on spring security",
  "evaluationOrder":1
}  
  • @class: 必须配置为org.apereo.cas.services.RegexRegisteredService;
  • serviceId: 可以通过正则表达式来匹配每一个CAS Client;
  • name: 指定CAS Client的名称,随便写;
  • id: 全局唯一的编号,也就是filename中的serviceNumericId字段;
  • description:对client的描述;
  • evaluationOrder:指明client服务的执行顺序。

2. 配置services信息

在本案例中,我们把JSON文件命名为casclient-10000.json,并存放在/src/main/resources/services目录下,如下图:

然后我们修改application.properties文件,修改内容如下:

 #加载json资源
cas.serviceRegistry.json.location=classpath:/services

#是否开启json识别功能,默认为false
cas.serviceRegistry.initFromJson=true

#忽略https安全协议,使用 HTTP 协议
cas.tgc.secure=false

#是否自动扫描服务配置,默认开启
#cas.serviceRegistry.watcherEnabled=true

#默认每隔120秒扫描一次服务配置
#cas.serviceRegistry.repeatInterval=120000

#默认在CAS Server启动后延迟15s开启自动扫描
#cas.serviceRegistry.startDelay=15000  

在我们修改完application.properties配置文件后,需要把CAS Server端项目停止,并重新执行启动命令,使得当前配置生效。在配置生效后,Terminal控制台会出现下图提示,代表已经成功的加载了一个service信息:

这样我们接下来就可以搭建一个对应的CAS Client项目,来访问这个CAS Server端了。

至此,我就搭建了一个CAS Server端环境,然后就可以搭建CAS Client项目,实现客户端项目与作为认证中心的服务端之间进行交互了。

文章来源:智云一二三科技

文章标题:CAS单点登录教程!手把手带你搭建CAS认证服务器

文章地址:https://www.zhihuclub.com/201128.shtml

关于作者: 智云科技

热门文章

发表回复

您的电子邮箱地址不会被公开。

网站地图