空間站

北極心空

BlogJava :: 首頁 :: 聯系 :: 聚合

:: 管理

15 Posts :: 393 Stories :: 160 Comments :: 0 Trackbacks

[轉]CAS及客戶端Acegi的安裝配置指南

CAS及客戶端Acegi的安裝配置指南（上）

作者：龍智 (Dragon)

時間：2006-07-09

CAS（Central Authentication Service）是耶魯大學開發的一個開源的SSO（single sign on，單點登錄）系統。它提供了豐富的客戶端庫，如Java, .NET, PHP, Perl等版本，使用這些庫用戶可以方便地給自己的應用程序加上CAS支持。Acegi security system for Spring是Spring的一個子項目，它為Java EE開發者提供了一個易于使用的提供認證和授權服務的安全框架。Acegi支持CAS，也可看作是CAS的一個Java版的Client。

以下詳細介紹如何配置CAS以及應用程序，使其利用Acegi和CAS進行用戶的登錄和認證。我將以acegi-security-1.0.1發布包中附帶的acegi-security-sample-tutorial應用為例，它使用DaoAuthenticationProvider對用戶進行認證，用戶帳號和權限信息保存在一個properties文件中，我將對其進行改造，改造之后，acegi-security-sample-tutorial使用CAS進行用戶認證，授權信息仍從該properties文件讀取，因為CAS只負責認證，不負責授權，所以授權工作交由客戶端Acegi來完成，CAS的用戶源配置為數據庫，利用JDBC進行讀取。本文需要讀者對SSO和Acegi有一定的了解。

一．準備工作

下載并安裝Tomcat（http://tomcat.apache.org/），本文使用的版本是5.5.15；
下載并安裝MySQL（http://www.mysql.com），本文使用的版本是5.0.16；
下載CAS服務端（http://www.ja-sig.org/products/cas/），本文使用最新的3.0.5RC2；
下載CAS-JDBC Adapter （http://developer.ja-sig.org/maven/cas/jars/cas-server-jdbc-3.0.5-rc2.jar）；
下載Acegi（http://acegisecurity.org/）,本文使用的版本是1.0.1；

二．安裝CAS

解壓縮cas-server-3.0.5-rc2.zip，拷貝target目錄中的cas.war到%CATALINA_HOME%/webapps下即可。運行Tomcat，訪問http://localhost:8080/cas應可看到CAS登錄界面。

三．配置Tomcat支持SSL

由于CAS要求使用https和客戶端進行通信，所以需要配置Tomcat支持SSL，首先介紹如何制作自簽名證書以及將其導入到證書庫。

1. keytool -keystore keystore -alias acegisecurity -genkey -keyalg RSA -validity 9999 -storepass password -keypass password

What is your first and last name?

[Unknown]: localhost

其他隨便填寫即可。

2. keytool -export -v -rfc -alias acegisecurity -file acegisecurity.txt -keystore keystore -storepass password

3. copy acegisecurity.txt %JAVA_HOME%\jre\lib\security

4. copy keystore %CATALINA_HOME %

5. cd %JAVA_HOME%\jre\lib\security

6. keytool -import -v -file acegisecurity.txt -keypass password -keystore cacerts -storepass changeit -alias acegisecurity

接下來，用編輯器打開%CATALINA_HOME%/conf/server.xml，找到

<Connector port="8443" maxHttpHeaderSize="8192"

maxThreads="150" minSpareThreads="25" maxSpareThreads="75"

enableLookups="false" disableUploadTimeout="true"

acceptCount="100" scheme="https" secure="true"

clientAuth="false" sslProtocol="TLS" />

這一行默認是被注釋掉的，取消注釋，并加入keystoreFile="keystore" keystorePass="password"這兩個屬性，注意keystoreFile屬性可以使用keystore文件的絕對路徑，也可使用基于%CATALINA_HOME%環境變量的相對路徑，keystorePass是訪問keystore的密碼，應和上面制作證書時設定的密碼保持一致。

訪問https://localhost:8443，應彈出一個對話框，告知用戶正要訪問的站點的證書不安全，是否接受，確認接受，應可看到那只熟悉可愛的小貓。（由于msn space對blog篇幅的限制，本文不得不分割為上、下兩篇）

CAS及客戶端Acegi的安裝配置指南（下）

（接上）

四．改造acegi-security-sample-tutorial

解壓縮acegi-security-1.0.1.zip，拷貝acegi-security-sample-tutorial.war到%CATALINA_HOME%/webapps目錄下，重啟tomcat，acegi-security-sample-tutorial即已發布。現在我們將其改造為使用CAS進行用戶的登錄和認證。

用編輯器打開WEB-INF/applicationContext-acegi-security.xml，找到

</bean>

將其替換為：

</bean>

其中，authenticationFailureUrl是認證失敗時顯示的頁面，acegi-security-sample-tutorial登錄失敗時會在登錄頁(acegilogin.jsp)顯示失敗原因，現改為使用CAS之后，acegi-security-sample-tutorial使用CAS的登錄頁面，故acegilogin.jsp可去掉。接下來，找到

</bean>

替換為：

<value>https://localhost:8443/cas/login</value>

</property>

</property>

</bean>

再接下來，找到

<list>

</bean>

</bean>

</list>

</property>

</bean>

將<ref local="daoAuthenticationProvider"/>修改為<ref local="casAuthenticationProvider"/>，并添加以下bean：

</property>

</property>

</property>

</property>

<value>some_unique_key</value>

</property>

</bean>

<value>https://localhost:8443/cas/proxyValidate</value>

</property>

</property>

</bean>

<value>https://localhost:8443/acegi-security-sample-tutorial/j_acegi_cas_security_check</value>

</property>

</bean>

</property>

</bean>

</property>

</bean>

</property>

</bean>

改造完畢！

五．配置CAS使用JDBC數據源進行用戶認證

CAS默認設置為只要用戶名和密碼相同，即可進行登錄，這在現實使用中是不允許的。我們修改為使用MySQL的test數據庫中的app_user表作為用戶數據源。首先，我們在test庫中創建一個表：

CREATE TABLE `app_user` (

`username` varchar(30) NOT NULL default '',

`password` varchar(45) NOT NULL default '',

PRIMARY KEY (`username`)

) ENGINE=InnoDB DEFAULT CHARSET=utf8;

并添加如下用戶：

INSERT INTO `app_user` (`username`,`password`) VALUES

('dianne','emu'),

('marissa','koala'),

('peter','opal'),

('scott','wombat');

用編輯器打開%CATALINA_HOME%/webapps/cas/WEB-INF/deployerConfigContext.xml，找到

注釋掉該行，在其下加入：

</bean>

并添加一個bean：

<property name="driverClassName"><value>com.mysql.jdbc.Driver</value></property>

<property name="url"><value>jdbc:mysql://localhost:3306/test</value></property>

</bean>

拷貝cas-server-jdbc-3.0.5-rc2.jar和mysql-connector-java-3.1.12-bin.jar到%CATALINA_HOME%/webapps/cas/WEB-INF/lib下。

重新啟動tomcat，在瀏覽器中輸入http://localhost:8080/acegi-security-sample-tutorial，你會發現，一旦你訪問了受保護的頁面，請求就會被重定向到CAS的登錄頁面，登錄成功之后請求會被再被定向到最初訪問的頁面，如果有多個系統，在這些系統之間進行切換將不會要求用戶重新登錄，這就達到了單點登錄的目的。

參考文獻：

Acegi security官方網站及文檔：http://acegisecurity.org
CAS官方網站及文檔：http://www.ja-sig.org/products/cas
SSL Configuration HOW-TO：http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html
利用CAS實現SSO技術：http://kb.csdn.net/java/Articles/200606/2e082aae-775d-48be-b2fb-c2e218af9ba9.html
Spring in Action中文版（ISBN7-115-14315-3/TP.517

posted on 2007-10-25 09:19 蘆葦閱讀(659) 評論(0) 編輯收藏所屬分類: Spring 、JAVA

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: Spring 讓 LOB 數據操作變得簡單易行 Spring 的優秀工具類盤點 [轉貼]OpenSessionInView與Hibernate事務處理機制 cglib動態代理牛刀小試。關于在DOM4J在讀取XML文件時，解釋DTD的問題[轉自javaeye] BeanFactory&ApplicationContext--part2 BeanFactory&ApplicationContext--part1 acegi的登陸過程拋磚引玉－使用Acegi實現多種用戶登錄的一種方案 [轉] 談談Spring 2.x中簡化配置的問題

空間站

公告

常用鏈接

留言簿(15)

我參與的團隊

隨筆分類

隨筆檔案

文章分類

文章檔案

收藏夾

blog收藏

搜索

最新評論

閱讀排行榜

評論排行榜

一．準備工作

二．安裝CAS

三．配置Tomcat支持SSL

CAS及客戶端Acegi的安裝配置指南（下）

四．改造acegi-security-sample-tutorial

五．配置CAS使用JDBC數據源進行用戶認證

參考文獻：