sso 单点登录的配置

最新推荐文章于 2026-05-18 06:22:38 发布
原创 最新推荐文章于 2026-05-18 06:22:38 发布 · 8.6k 阅读 · 12 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

                                             这一章来讲一下配置单点登录   


首先用到https协议,所以先用jdk自己的keytool工具来生成秘钥,所有输入密码的地方都用changeit  生成证书需要填入一些信息 最好有包含后面用到单点登录服务的域名 不然后面会报错证书中找不到那个域名

1:在d盘新建一个目录用来存放生成的证书文件d:/cas/keys

2:cmd下面进入到java_home 运行keytool -genkey -alias mycas -keyalg RSA -keysize 2048 -keystore d:/cas/keys/mycas.keystore 

3.继续运行keytool -export -file d:/cas/keys/mycas.crt -alias mycas -keystore d:/cas/keys/mycas.keystore

导出证书;

4. keytool -import -keystore d:\Java\jdk1.7.0_60\jre\lib\security\cacerts -file d:/cas/keys/mycas.crt -alias mycas 
其中:d:\Java\jdk1.7.0_60\jre\lib\security\cacerts为客户端JVM的密钥库位置 
如果提示: 
keytool error: java.io.IOException: Keystore was tampered with, or password was incorrect 

删除d:\Java\jdk1.7.0_60\jre\lib\security\cacerts 在输入上述命令

5.配置tomcat服务端:

打开tomcat目录的conf/server.xml文件,8443端处,并设置keystoreFile、keystorePass修改结果如下:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"  
     maxThreads="150" scheme="https" secure="true" 
     clientAuth="false" sslProtocol="TLS"   
     keystoreFile="D:/cas/keys/mycas.keystore"  
     keystorePass="生成KEY的密码"  
/>


参数说明:keystoreFile:在第一步创建的key存放位置 keystorePass:创建证书时的密码。 
打开https://localhost:8443/,可以测试

点击“继续浏览此网站(不推荐),现在进入Tomcat目录了

6.cas-server-webapp-4.0.0.war拷贝到D:\apache-tomcat-7.0.54\webapps目录下,改名为cas.war(只是为了方便URL输入),并启动Tomcat, 会自动解压得到cas工程文件夹。 

好了,现在打开浏览器,输入https://localhost:8443/cas/login 进入到cas登录的页面

7.

默认采用的username/password 在cas\WEB-INF下的deployerConfigContext.xml中是这样的:

<bean id="primaryAuthenticationHandler"
          class="org.jasig.cas.authentication.AcceptUsersAuthenticationHandler">
        <property name="users">
            <map>
                <entry key="casuser" value="Mellon"/>
            </map>
        </property>
    </bean>


输入username: casuser password:Mellon 登录成功

8.数据库为sso,里面有一个表t_member 中有username password字段

打开D:\apache-tomcat-7.0.54\webapps\cas\WEB-INF\deployerConfigContext.xml, 
注释掉默认的用户验证,添加JDBC认证,代码如下:

<!--<bean id="primaryAuthenticationHandler"
          class="org.jasig.cas.authentication.AcceptUsersAuthenticationHandler">
        <property name="users">
            <map>
                <entry key="casuser" value="huiquan"/>
            </map>
        </property>
    </bean> -->

	<bean id="dataSource"
	  class="com.mchange.v2.c3p0.ComboPooledDataSource"
	 p:driverClass="com.mysql.jdbc.Driver"p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/sso?useUnicode=true&amp;characterEncoding=UTF-8&amp;zeroDateTimeBehavior=convertToNull"
	  p:user="root"
	  p:password="root" />

<!-- 密码加密方式-->
	<bean id="passwordEncoder"
      class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"
      c:encodingAlgorithm="SHA1"
      p:characterEncoding="UTF-8" />

	  <bean id="dbAuthHandler"
      class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"
      p:dataSource-ref="dataSource"
      p:sql="select password from t_member where username=?" />
	  <!-- p:passwordEncoder-ref="passwordEncoder" --><!-- 暂时不使用密码加密 -->


根据上述配置,我们需要在D:\apache-tomcat-7.0.54\webapps\cas\WEB-INF\lib中加入c3p0-0.9.1.2.jar包、mysql-connector-java-5.1.21.jar包和cas-server-support-jdbc-4.0.0.jar包。 
再修改D:\apache-tomcat-7.0.54\webapps\cas\WEB-INF\deployerConfigContext.xml中authentication manager的配置:

<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">
        <constructor-arg>
            <map>
                
                <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver" />
                <!--<entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" /> -->
				<entry key-ref="dbAuthHandler" value-ref="primaryPrincipalResolver"/>
            </map>
        </constructor-arg>
<property name="authenticationPolicy">
            <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy" />
        </property>
    </bean>


再次运行Tomcat,访问https://localhost:8443/cas/login就能进行数据库验证了。

这里在本地映射一个127.0.0.1 www.ssomain.com  把loalhost换掉 不然完了出问题 这个域名和生成证书用的那个一样

9.CAS Client 配置 

创建两个webgongc sso1 sso2  

本地映射127.0.0.1 www.sso1.com 把下面配置文件中客户端的localhost换掉,sso2也一样 服务器端换成www.ssomain.com 
本文中客户端工程部署在同一个Tomcat中,所以CAS Server和Client的域名都为localhost。
在Client工程WEB-INF/lib下添加cas-client-core-3.2.1.jar包。 

修改web.xml如下:

<!-- ======================== 单点登录/登出 ======================== -->

<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
<filter>
   <filter-name>CAS Single Sign Out Filter</filter-name>
   <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>

<!-- 该过滤器负责用户的认证工作,必须启用它 -->
<filter>
  <filter-name>CAS Authentication Filter</filter-name>
  <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
  <init-param>
    <param-name>casServerLoginUrl</param-name>
    <param-value>https://localhost:8443/cas/login</param-value>
  </init-param>
  <init-param>
    <param-name>serverName</param-name>
    <param-value>http://localhost:8080</param-value>
  </init-param>
</filter>

<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
<filter>
    <filter-name>CAS Validation Filter</filter-name>
    <filter-class>org.jasig.cas.client.validation.Cas10TicketValidationFilter</filter-class>
    <init-param>
        <param-name>casServerUrlPrefix</param-name>
        <param-value>https://localhost:8443/cas</param-value>
    </init-param>
    <init-param>
        <param-name>serverName</param-name>
        <param-value>http://localhost:8080</param-value>
    </init-param>
    <init-param>
        <param-name>redirectAfterValidation</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

<!-- 该过滤器负责实现HttpServletRequest请求的包裹,
比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 -->
<filter>
  <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
  <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
</filter>

<!-- 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
 比如AssertionHolder.getAssertion().getPrincipal().getName()。-->
<filter>
  <filter-name>CAS Assertion Thread Local Filter</filter-name>
  <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>

<filter-mapping>
   <filter-name>CAS Single Sign Out Filter</filter-name>
   <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS Authentication Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS Validation Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<filter-mapping>
    <filter-name>CAS Assertion Thread Local Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
 
<listener>
    <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- ======================== 单点登录/登出结束 ======================== -->


现在运行Client工程,首次访问任一页面就会跳转到https://www.sso1.com:8443/cas/login进行认证。同时,把你的退出链接设置为:https://sso.wsria.com/cas/logout 即可实现单点推出

登录进去默认为这个站点的额index.jsp

退出可以用http://www.ssomain.com:8080/logout?service=http://www.sso1.com:8080


CAS服务端(cas-server)的界面只能在测试的时候用一下,真正系统上线肯定需要定制开发自己的页面,就像网易和CSDN的统一认证平台一样,所有子系统的认证都通过此平台来转接,大家可以根据他们的页面自己定制出适合所属应用或者公司的界面;简单介绍一下吧,复制 cas\WEB-INF\view\jsp\default\ui的一些JSP文件,每一个文件的用途文件名已经区分了,自己修改了替换一下就可以了。 例如: 
登录界面:casLoginView.jsp 
登录成功:casGenericSuccess.jsp 
登出界面:casLogoutView.jsp 



完成前面的步骤,并不能得到我们理想的效果。例如,我们的目标是: 
Client端index页面 -> CAS Server端login页面 -> 认证成功 -> Client端index页面,并显示欢迎信息。 
但由于Client端有自己的登录验证拦截机制,效果却是这样的: 
Client端index页面 -> CAS Server端login页面->认证成功 -> Client端login页面。 
所以,我需要修改Client端的认证拦截/跳转页面。 
前面的步骤以后,我们在Client端的HttpServletRequest中已经可以通过getRemoteUser()方法得到用户名了。 
String username = request.getRemoteUser(); 
再据此修正控制器login页面跳转或拦截器就行了。 

            

最后感谢这两篇博文的作者帮我大忙了:

http://www.itnose.net/detail/6639688.html

http://itindex.net/detail/51110-cas-4.0-%E7%99%BB%E5%BD%95

单点登录单点登录单点登录
02-09
单点登录的英文名称为Single Sign-On,简写为SSO,它是一个用户认证的过程,允许用户一次性进行认证之后,就访问系统中不同的应用;而不需要访问每个应用时,都重新输入密码。IBM对SSO有一个形象的解释“单点登录、全网漫游”。
实战:单点登录的两种实现方式,附源码
阿Q的小窝
06-01 6546
单点登录SSO)是一种身份验证服务,允许用户使用单个标识来登录多个应用程序或系统。如下图所示,用户只需要用户名/密码登陆一次就可以访问系统A、系统B和系统C。
usmssosetup 单点登录被禁用_在 Apple 设备上使用单点登录介绍
weixin_39593460的博客
01-12 2420
在 Apple 设备上使用单点登录介绍单点登录 (SSO) 是用户提供一次认证信息并接收票据以在有效期内使用它来访问资源的过程。该过程让用户保持对资源的安全访问,而无需在每次请求访问时均出示凭证。它还可以确保从不通过网络传送密码,从而提高日常使用 App 的安全性。App 可以通过 Kerberos(部署最为广泛的 SSO 技术)来利用现有的企业内部单点登录 (SSO) 基础架构。如果配置了 Ac...
用Python+GDAL批量处理GLC_FCS30数据:统计城市30年建设用地扩张面积
最新发布
weixin_33700350的博客
05-18 479
本文详细介绍了如何利用Python和GDAL工具批量处理GLC_FCS30数据,统计城市30年建设用地扩张面积。通过自动化流程,包括数据预处理、建设用地提取、区域统计和可视化分析,帮助研究人员高效完成土地覆盖变化研究,适用于城市规划与环境监测等领域。
2024年前端最全实战:单点登录的两种实现方式,附源码_前端单点登录,阿里前端p7面试
2401_84617533的博客
05-13 1694
由于篇幅限制,pdf文档的详解资料太全面,细节内容实在太多啦,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】java复制代码/*** title:跳转 ServiceB* * 1. 前端点击Jump链接触发此接口调用* 2. 此接口生成ticket并携带着请求 ServiceB* 2.1 ServiceB拿着ticket请求我方服务获取用户信息。
实战:单点登录的两种实现方式,你学会了吗?
技术专家
06-13 2258
实战:单点登录的两种实现方式,你学会了吗?
单点登录实现方式(推荐收藏)
小赵的博客
04-27 5084
实际上,单点登录SSO)是指在多个应用系统中,用户只需要登录任意一个系统,就可以访问其他的互相信任的系统。即仅给予员工用户一套单一的凭证(如账号密码),就可以使其访问多个权限内的应用系统,也就是说员工只需要输入一套用户名和密码,就可以访问OA、邮箱、HR、CRM等所有工作相关的应用系统。
android sso 单点登录,配置设备单点登录 (SSO)
weixin_36078669的博客
05-28 1003
配置设备单点登录 (SSO)Note:This page is not updated. Please refer to the corresponding English content for the latest on this topic.概述IBM Mobile Foundation 提供单点登录 (SSO) 功能,支持在同一设备上的多个应用程序间共享任何定制安全性检查的状态。 例如,通...
Spring Security Oauth2 SSO单点登录配置及原理深度剖析
热门推荐
银河架构师的博客
06-15 1万+
单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。 随着企业各系统越来越多,如办公自动化(OA)系统,财务管理系统,档案管理系统,信息查询系统等,登录问题就变得愈发重要。要记录那么多的用户名和密码,实在不是一件容易的事儿。而为了便于记忆,...
n8n企业特性:SSO单点登录配置
gitblog_00637的博客
09-25 546
在企业环境中,用户身份管理和访问控制是保障系统安全的关键环节。n8n作为一款企业级工作流自动化平台,提供了SSO单点登录,Single Sign-On)功能,帮助企业实现统一身份认证,简化用户登录流程,同时增强系统安全性。本文将详细介绍n8n中SSO单点登录配置方法及相关注意事项。 ## SSO单点登录简介 SSO单点登录是一种身份认证技术,允许用户使用一组凭据(如用户名和密码)登录多个相...
CAS单点登录SSO)服务器配置
随风逐亚的专栏
10-12 852
一、单点登录的概念       单点登录SSO)英文全称Single Sign On,单点登录SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。      简单的 SSO 的体系中,会有下面三种角色:    1 、 User (多个)    2 、
Smart-SSO单点登录系统安装与配置指南
gitblog_00991的博客
03-30 488
Smart-SSO 是一个基于 SpringBoot 技术的开源单点登录系统,采用 OAuth2 认证协议和 RBAC 权限设计。它旨在为开发者提供一个轻量级、高可用的单点认证授权中心。Smart-SSO 支持跨域、前后端分离以及分布式部署,特别适用于需要实现单点登录功能的项目。 主要的编程语言为 Java。 ## 2. 项目使用的关键技术和框架 - **SpringBoot**: 作为项目...
单点登录:流程分析及实战(二)
zhengguofeng0328的博客
06-28 1219
SSO单点登录
基于Sa-Token实现单点登录SSO)实战指南
随便写写
06-06 4058
《基于Sa-Token实现单点登录实践指南》摘要:Sa-Token框架简化了分布式系统中的单点登录(SSO)实现,解决多系统重复登录痛点。文章详细解析三种SSO模式适配不同架构场景,并提供统一认证中心搭建方案。关键技术包括Redis会话共享、Ticket校验机制和单点注销流程,涵盖同域/跨域系统的完整集成方法。针对安全增强、前后端分离等特殊场景给出解决方案,并分享会话共享、同端互斥等高级实践。该方案将传统数天的SSO开发缩短至数小时,显著提升系统安全性和用户体验。
单点登录配置
hkduan的博客
09-22 1365
单点登录配置: 1.新增5个文件 utils/auth.js. utils/sso.js. utils/store.js. premission.js. api/login.js 其他修改如下: 2.具体修改内容截图 2.1 login.js 2.2 UserMenu.vue 2.3 router.config.js 2.4 user.js 2.5 auth.js 2.6 request.js 2.7 sso.js 2.8 store.js 2.9 premission.js
单点登录方案实战
beyond的博客
02-20 6974
单点登录先介绍下:oauth2与单点登陆的区别session-cookie机制session共享方式,实现的单点登陆使用场景实现方法Session共享方式的限制顶级域名不一样的网站怎么办?这时候就需要CAS登场了cas单点登陆方案 先介绍下:oauth2与单点登陆的区别 1、oauth2,不同的企业之间的登陆,例如:qq登录csdn,应用之间的信任度较低 2、单点登陆,是同一企业的产品系列(不同服...
SSO单点登录配置
YangJuanCMXC的专栏
08-17 487
[code="java"] 将登录信息配置到header.jsp页面上,在每个jsp文件中都引入该页面,如果要登录, 需要经过一定的配置方可正常显示登录信息。 1. 设置本机hosts文件(把本机地址映射为且对登录公共模块的地址进行映射): 本机IP (对应自己项目的域名) ss...
单点登录SSO)全面解析与实战
2301_80320652的博客
03-07 3244
单点登录(Single Sign-On,简称 SSO)是一种身份认证方式,允许用户在多个应用系统之间只需登录一次,即可访问所有受信任的应用,而无需在每个应用中重复输入用户名和密码。方案适用场景适用于小型企业、同域系统间的 SSO。JWT 无状态认证适用于微服务架构,无需存储 Session。适用于企业级 SSO,支持多协议集成。SSO 作为现代身份认证的重要技术,能够提升系统安全性、用户体验,并降低维护成本。
使用 CAS 在 Tomcat 中实现单点登录SSO
鱼会飞的技术专栏
06-29 2163
下面内容主要为转载,在自己的尝试搭建的工程中,遇到了问题,部分内容作了调整,主要调整点: 1、用keytool生成证书是,姓名(CN)必须为客户端服务器要访问的域名,域名可以自己随意定,然后在客户端服务器hosts中做相应的映射配置就可以了; 2、 web.xml的配置过滤器时,sso服务器的地址也必须是hosts配置的域名,也就是CN,如 : https://domainA:8443/ca
tomcat 单点登录 SSO 原理分析
王鹏亮 的专栏
10-26 3262
tomcat的单点登录功能应用场景:在多个应用之间共享用户角色,只需要在一个应用上登录后就可以免去在其它应用上登录认证, 关于应用的安全配置和角色要求,请看:tomcat 安全认证 Realm 及 多种类型 Realm 配置 http://blog.csdn.net/conquer0715/article/details/78206874 tomcat的单点登录功能仅限在同一个虚拟主
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值