cas5.3.2 单点登录 - 骨架搭建 (一)
原文地址,转载请注明出处: https://blog.csdn.net/qq_34021712/article/details/80871015
©王赛超
在多服务统一帐号的应用集中,单点登录是必不可少的。CAS 就是成熟的单点登录框架之一。
Github 地址 https://github.com/apereo/cas
现在我们就通过一系列快速简单的构建方式实现一个简单的单点登录系统集。
首先下载 cas,下载最新版本 https://github.com/apereo/cas-overlay-template
域名映射
修改 /etc/hosts 文件,添加服务端域名 (server.cas.com) 以及两个客户端的域名 (app1.cas.com , app2.cas.com)
编译
解压 zip,命令行进去,执行mvn clean package
结束之后会出现 target 文件夹,里面有一个 cas.war 包, 这个 war 包就是我们要运行的程序。
本地配置 tomcat 通过 https 访问
生成 keystore
keytool -genkey -alias tomcat -keyalg RSA -validity 3650
-keystore /Users/wangsaichao/Desktop/tomcat.keystore
-alias tomcat :表示秘钥库的别名是 tomcat,实际操作都用别名识别,所以这个参数很重要。
-validity 3650 : 表示证书有效期 10 年。
秘钥库口令 我输入的是 changeit 。
名字与姓氏输入服务器域名, 其它一路回车,最后如果显示正确 输入 ‘y’ 就行了。
tomcat 秘钥口令我采用与秘钥库相同,因此也是一路回车。
之后可以使用以下命令查看生成秘钥库的文件内容:
keytool -list -keystore /Users/wangsaichao/Desktop/tomcat.keystore
根据 keystore 生成 crt 文件
#输入第一步中keystore的密码changeit
keytool -export -alias tomcat -file /Users/wangsaichao/Desktop/tomcat.cer
-keystore /Users/wangsaichao/Desktop/tomcat.keystore -validity 3650
信任授权文件到jdk
sudo keytool -import -keystore /Library/Java/JavaVirtualMachines/jdk1.8.0_144.jdk/Contents/Home/jre/lib/security/cacerts
-file /Users/wangsaichao/Desktop/tomcat.cer -alias tomcat -storepass changeit
证书库 cacerts 的缺省口令为 changeit ,这也是为什么我上面的密码都是用的它, 防止混淆, 直接都设成一样的。
注意:我在命令的最前面加了 sudo 是因为我的环境是 mac 直接操作 jdk 没有权限。
删除授权文件命令如下,删除证书也需要输入密码:changeit
sudo keytool -delete -alias tomcat -keystore
/Library/Java/JavaVirtualMachines/jdk1.8.0_144.jdk/Contents/Home/jre/lib/security/cacerts
查看 cacerts 中证书 命令如下:
keytool -list -v -keystore
/Library/Java/JavaVirtualMachines/jdk1.8.0_144.jdk/Contents/Home/jre/lib/security/cacerts
修改 tomcat 的配置文件 server.xml
添加以下内容:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="200" SSLEnabled="true" scheme="https"
secure="true" clientAuth="false" sslProtocol="TLS"
keystoreFile="/Users/wangsaichao/Desktop/tomcat.keystore"
keystorePass="changeit"/>
让 chrome 浏览器信任证书
启动 CAS 服务
将第一步编译好的 cas.war 部署到 tomcat 中启动, 然后访问https://server.cas.com:8443/cas/login如果提示签名不正确之类的就点击高级 / 详细信息,继续访问。
旁边 Static Authentication 提示你:你现在只有一个写死的用户默认账号:casuser 默认密码:Mellon 仅有这一个用户,目前这个服务端只能看看,没什么实际用途。建议您将 CAS 连接到 LDAP、JDBC 等。
什么是 Overlay
overlay 可以把多个项目 war 合并成为一个项目,并且如果项目存在同名文件,那么主项目中的文件将覆盖掉其他项目的同名文件。使用 maven 的 Overlay 配置实现无侵入的改造 cas。
使用 Overlay 生成真正有用的服务端
新建项目
pom.xml
pom 是从解压的 cas.war 中拷贝出来的,将无用的配置删除。
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd ">
<modelVersion>4.0.0</modelVersion>
<groupId>org.apereo.cas</groupId>
<artifactId>cas-server-base</artifactId>
<packaging>war</packaging>
<version>1.0</version>
<build>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
<version>${springboot.version}</version>
<configuration>
<mainClass>org.springframework.boot.loader.WarLauncher</mainClass>
<addResources>true</addResources>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-war-plugin</artifactId>
<version>2.6</version>
<configuration>
<warName>cas</warName>
<failOnMissingWebXml>false</failOnMissingWebXml>
<recompressZippedFiles>false</recompressZippedFiles>
<archive>
<compress>false</compress>
<manifestFile>${project.build.directory}/war/work/org.apereo.cas/cas-server-webapp${app.server}/META-INF/MANIFEST.MF
</manifestFile>
</archive>
<overlays>
<overlay>
<groupId>org.apereo.cas</groupId>
<artifactId>cas-server-webapp${app.server}</artifactId>
</overlay>
</overlays>
</configuration>
</plugin>
<plugin>
<groupId>org.apache.maven.plugins</groupId>
<artifactId>maven-compiler-plugin</artifactId>
<version>3.3</version>
</plugin>
</plugins>
<finalName>cas</finalName>
</build>
<dependencies>
<dependency>
<groupId>org.apereo.cas</groupId>
<artifactId>cas-server-webapp${app.server}</artifactId>
<version>${cas.version}</version>
<type>war</type>
<scope>runtime</scope>
</dependency>
<dependency>
<groupId>org.apereo.cas</groupId>
<artifactId>cas-server-support-jdbc</artifactId>
<version>${cas.version}</version>
</dependency>
<dependency>
<groupId>org.apereo.cas</groupId>
<artifactId>cas-server-support-jdbc-drivers</artifactId>
<version>${cas.version}</version>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.36</version>
</dependency>
<!--<dependency>
<groupId>org.jasig.cas</groupId>
<artifactId>cas-server-core-authentication</artifactId>
<version>4.2.7</version>
</dependency>-->
<!--<dependency>
<groupId>org.apereo.cas</groupId>
<artifactId>cas-server-core-util</artifactId>
<version>${cas.version}</version>
</dependency>-->
</dependencies>
<properties>
<cas.version>5.3.2</cas.version>
<springboot.version>2.0.0.RELEASE</springboot.version>
<!-- app.server could be -jetty, -undertow, -tomcat, or blank if you plan to provide appserver -->
<app.server>-tomcat</app.server>
<maven.compiler.source>1.8</maven.compiler.source>
<maven.compiler.target>1.8</maven.compiler.target>
<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
</properties>
<repositories>
<repository>
<id>sonatype-releases</id>
<url>http://oss.sonatype.org/content/repositories/releases/</url>
<snapshots>
<enabled>false</enabled>
</snapshots>
<releases>
<enabled>true</enabled>
</releases>
</repository>
<repository>
<id>sonatype-snapshots</id>
<url>https://oss.sonatype.org/content/repositories/snapshots/</url>
<snapshots>
<enabled>true</enabled>
</snapshots>
<releases>
<enabled>false</enabled>
</releases>
</repository>
<repository>
<id>shibboleth-releases</id>
<url>https://build.shibboleth.net/nexus/content/repositories/releases</url>
</repository>
<repository>
<id>spring-milestones</id>
<url>https://repo.spring.io/milestone</url>
</repository>
</repositories>
</project>
最终项目目录如下:
其中 application.properties 和 META-INF 文件夹从 css.war 里面拷贝出来, 还有 log4j2.xml 也是从 cas.war 中拷贝出来的, 因为默认的日志生成位置是在 /etc/cas/logs 下, 启动会报错。
修改 application.properties
server.ssl.enabled=true
server.ssl.key-store=file:/Users/wangsaichao/Desktop/tomcat.keystore
server.ssl.key-store-password=changeit
server.ssl.key-password=changeit
server.ssl.keyAlias=tomcat
在 IntelliJ IDEA 配置 Tomcat
1. 点击 Run-Edit Configurations…
2. 添加 tomcat
3. 配置 tomcat 如下:
4. 第一次启动会出现以下界面,选 accept 就行了
然后访问https://server.cas.com:8443/cas/login, 出现登录界面, 就可以了,跟之前直接部署 cas.war 是一样的。