【Tech】单点登录系统CAS服务器端搭建及实现用户名密码由MYSQL数据库验证

CAS是YALE大学发起的一个开源项目，旨在为web应用系统提供一种可靠的单点登录方法。它主要分为client和server端，server端负责对用户的认证工作，client端负责处理对客户端受保护的资源的访问请求，CAS的原理如下图所示：

上述的6个步骤解释如下：

1.用户通过browser请求cas client A端的资源。

2.client A端发现用户未登录(client没有收到ST)，redirect到cas server，并且把用户请求服务的url发送给server；server发现用户浏览器中没有TGC(Ticket Granting Cookie)，就跳转到登录页面。

3.用户在登录页面登录并登录成功。

4.server在用户的浏览器中设置一个TGC(Ticket Granting Cookie)，并且在server端保存一个TGT(Ticket Granting Tciket)，然后把用户重定向到{client A网址+ST(Service Ticket)}，其中ST是由TGT生成的。

5.client A端通过GET的方法收到ST，向server端验证这个ticket的有效性，这一步主要是为了防止恶意用{client网址+杜撰的ST}来访问client A，所以虽然ST是server发送给client A的，client A仍然需要向server验证其有效性。

6.ticket有效，server端返回ticket对应的用户的用户名，client A端为用户提供请求的服务。

上述是未登录的用户访问client A的过程，用户通过以上步骤已经登录了CAS系统，此时他访问CAS系统中信任的client B端，是不用登录的，实现步骤如下：
1.1.用户通过browser请求cas client B端的资源。

2.client B端发现没有收到ST，redirect到cas server，并且把用户请求服务的url发送给server；server发现用户浏览器中有TGC(Ticket Granting Cookie)，验证该TGC后，用server端存储的TGT生成一个ST。

3.server把用户重定向到{client B网址+ST(Service Ticket)}。

4.client B端通过GET的方法收到ST，向server端验证这个ticket的有效性.

5.ticket有效，server端返回ticket对应的用户的用户名，client B端为用户提供请求的服务，这样用户就不用再次登录就可以访问到client B了。

所以从上述过程中，可以看到client端既不能接触到用户的用户名密码，也不能接触到用户的凭证TGT或者TGC，它只做两件事情：如果用户的请求里有ST，那么就向服务器验证ST的有效性；如果用户的请求里没有ST，那么就把用户重定向到cas server；

cas server全权负责管理用户的用户名和密码，如果发现用户的浏览器里面有有效的TGC，就生成ST把用户重定向到client端；如果用户浏览器里面没有TGC或者TGC无效，就让用户重新登录，然后在用户的浏览器里面设置新的TGC。而server和用户浏览器之间的交互是https安全协议，这样就保证了用户的用户名密码的安全性。

本文记录server端的搭建过程。

1.安装JDK

2.搭建TOMCAT：

   下载tomcat7.0

   双击%TOMCAT_PATH%/bin/startup.bat启动tomcat

   浏览器打开http://localhost:8080，若显示如下界面，则配置成功：

3.配置tomcat使用https协议

  （1）生成安全证书

        cd到%JAVA_HOME%/bin/目录下，执行一下命令

keytool -genkeypair -alias "tomcat" -keyalg "RSA" -keystore "g:	omcat.keystore"

　　其中"g: omcat.keystore"是保存生成证书的路径和名称。

　　在接下来的操作中，要注意的是“您的名字和姓氏是什么？”这里要回答域名，比如我是在本机搭建tomcat，所以回答localhost，如下图所示：

　　其他的随便填就好了，密码当然要记住，我这里用的是"tomcat"作为密码，后面配置的时候要用到的。

　　上述命令执行完后就可以在g:下看到证书tomcat.keystore了。

    （2）配置tomcat

　　　　在%TOMCAT_PATH%/conf下找到server.xml文件，定位到下面的代码上：

<!--
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" />
    -->

　　　　去掉注释，然后把它修改成下面的代码：

 <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="G:	omcat.keystore"
               keystorePass="tomcat"
               clientAuth="false" sslProtocol="TLS" />

各项的含义见下表：

然后在浏览器里面打开https://localhost:8443，出现如下界面就说明配置tomcat使用https成功了：

4.配置CAS Server

到CAS主页上下载cas server，我这里下载的并不是最新版，是cas-server-3.5.2-release.zip；然后解压，到cas-server-3.5.2modules目录下找到cas-server-webapp-3.5.2.war，把它拷贝到apache-tomcat-7.0.56webapps下并且重命名为cas.war，重启tomcat(双击apache-tomcat-7.0.56instartup.bat)，用浏览器打开https://localhost:8443/cas/login，如果出现一下界面则说明CAS Server配置成功：

 5.与MYSQL连接

目前配置好的CAS的用户名和密码验证十分简单，既只要用户名和密码相同就可以登录了。但在实际应用中我们的用户名密码常常是保存在数据库里面的，所以我们希望实现从数据库里面验证用户名和密码。操作步骤如下:

(1)用phpMyAdmin在MYSQL中创建用户名密码的表，这里新建一个数据库casuserdatabase，创建一张表app_user来存放用户名密码信息，然后插入两条测试用的用户名密码，sql语句如下;

CREATE DATABASE casuserdatabase;
USE casuserdatabase;
CREATE TABLE app_user (username varchar(30), password varchar(45) , primary key (username));
INSERT INTO app_user (username,password) values ('test01','psw01');
INSERT INTO app_user (username,password) values('test02','psw02');
 

(2)到这里下载mysql-connector-java-5.1.22，其他版本的我没有尝试过，不知道可不可以。解压，我们只需要文件夹里面的mysql-connector-java-5.1.22-bin.jar包。

到cas-server-3.5.2modules目录下找到cas-server-support-jdbc-3.5.2.jar。

把上述两个包拷贝到apache-tomcat-7.0.56webappscasWEB-INFlib目录下。

(3)配置apache-tomcat-7.0.56webappscasWEB-INF目录下的deployerConfigContext.xml文件：

首先增加一个datasource，通过增加一下的代码实现：

<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
        <property name="driverClassName" value="com.mysql.jdbc.Driver"></property>
        <property name="url" value="jdbc:mysql://localhost/casuserdatabase"/>
        <property name="username" value="sunshineatnoon"/>
        <property name="password" value="49531218"/>
    </bean>

然后改变认证方式，定位到如下代码:

<bean                     
class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />

把它注释掉，换成：

<bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">  
                        <property name="dataSource" ref="dataSource" />  
                        <property name="sql" value="select password from app_user where userName=?" /> 
                </bean> 

其中<property name="sql" value="select password from app_user where userName=?" /> 中app_user是我存放用户名和密码的表，需要根据实际情况而定。

注意这里datasource放在注释掉的那行代码所在的</list>外面，大概相对位置见下面的代码，否则会报错：

                <!--bean
                    class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" /-->
                <bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">  
                    <property name="dataSource" ref="dataSource" />  
                    <property name="sql" value="select password from app_user where userName=?" /> 
                </bean> 
            </list>
        </property>
    </bean>

    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
        <property name="driverClassName" value="com.mysql.jdbc.Driver"></property>
        <property name="url" value="jdbc:mysql://localhost/casuserdatabase"/>
        <property name="username" value="sunshineatnoon"/>
        <property name="password" value="49531218"/>
    </bean>

(4)重启tomcat，再次到登录页面https://localhost:8443/cas/login上，就可以用数据库中的用户名和密码登录了，比如这里用上面设置的"test01","psw01"登录：

到这里还有个bug就是登录的时候总是会清空一次登录框，第二次才能登上去，研究下这个bug怎么解决再说。

还有一个是目前我还不知道怎么登出，于是就用最笨的方法，把浏览器的cookie删掉，刷新登录页面，就算登出啦。

参考资料

[1]配置tomcat使用https：http://ln-ydc.iteye.com/blog/1330674

[2]与mysql连接配置：http://blog.sina.com.cn/s/blog_3fc815b30100ihtr.html

[3]mysql-connector-java-5.1.22下载：http://6881116.blog.51cto.com/6871116/1190148