『壹』 CAS配置問題
PKIX 一般是證書問題。嘗試以下兩種方式:
一、重新生成、導入證書;
二、如果cas和client app分開部署,請將cas證書導入到client app端。導入方式請google或。
『貳』 如何將web.xml 中的filter 中涉及到IP地址文件從properties 讀取
如果CASFilter類可以繼承並且能夠看到源碼的話,可以覆蓋一下,然後在web.xml中用你自定義的類類進行配置:
『叄』 CAS4.2單點登錄如何配置多個系統登錄一次和退出到登錄頁問題
問題1:hhaip-cas1.com、hhaip-cas2.com和hhaip-secure.com的IP分別是什麼?如果都是127.0.0.1,那埠號得錯開,不能全部8080;如果不一樣,那從這個配置文件看不出問題,只能後台瞧一下日誌,看訪問app2的時候ServiceTicket為什麼沒有生產,TGT為什麼被銷毀
問題2:使用HTTP就別指望本地能正常退出了,換HTTPS吧
『肆』 springmvc集成shiro和spring security是一回事兒嗎怎麼在web.xml
差不多一回事,都是安全驗證,但是spring security還更強大,包括cas,auth,acl都可以控制。但是DelegatingFilterProxy跟安全沒關系,DelegatingFilterProxy繼承於抽象類GenericFilterBean,間接地implement 了javax.servlet.Filter介面,Servlet容器在啟動時,首先會調用Filter的init方法,GenericFilterBean的作用主要是可以把Filter的初始化參數自動地set到繼承於GenericFilterBean類的Filter中去
『伍』 cas有些請求路徑不需要單點登錄過濾器攔截
業務系統web應用在使用單點登錄組件時,有些請求路徑不需要單點登錄過濾器攔截,比如公共開放的路徑,不需要認證都可以自由訪問的路徑,單點登錄過濾器配置的映射路徑一般以通配符匹配路徑,但要把這些路徑單獨提取出來,讓過濾器不攔截做單點登錄處理,就需要對原有過濾器進行擴展改造,才能實現這個功能。
擴展實現代碼如下:
public class CASFilter implements Filter {
public static enum ResponseType {
BREAK, GOON, RETURN
}
...
public void doFilter(
ServletRequest request,
ServletResponse response,
FilterChain fc){
。。。
CASReceipt receipt = (CASReceipt) session.getAttribute(CAS_FILTER_RECEIPT);
if (receipt != null && isReceiptAcceptable(receipt)) {
log.trace("CAS_FILTER_RECEIPT attribute was present and acceptable - passing request through filter..");
fc.doFilter(request, response);
return;
}else{
responeType = beforeDoSSOFilter(request, response);
if(ResponseType.RETURN==responeType){
return ;
}else if(ResponseType.BREAK==responeType) {
fc.doFilter(request, response);
return;
} //else go on
}
}
//過濾器的前置處理
public ResponseType beforeDoSSOFilter(ServletRequest request,
ServletResponse response) {
return ResponseType.GOON;
}
}
註:主要看原CASFilter 類紅字部分擴展代碼。
擴展實現類BMCASFilter
package com.sitechasia.sso.bmext;
public class BMCASFilter extends CASFilter {
private final Log log = LogFactory.getLog(this.getClass());
private static String ssoclient_passedPathSet;//設置不被sso過濾器攔截的請求路徑,需要符合url路徑通配符,多個路徑可以","分割
public static final String PASSEDPATHSET_INIT_PARAM="passedPathSet";//web.xml配置文件中的參數
@Override
public void init(FilterConfig config) throws ServletException {
super.init(config);
ssoclient_passedPathSet = SSOClientPropertiesSingleton.getInstance().getProperty(ClientConstants.SSOCLIENT_PASSEDPATHSET)==null?config.getInitParameter(PASSEDPATHSET_INIT_PARAM):SSOClientPropertiesSingleton.getInstance().getProperty(ClientConstants.SSOCLIENT_PASSEDPATHSET);
}
@Override
public ResponseType beforeDoSSOFilter(ServletRequest request,
ServletResponse response) {
if (ssoclient_passedPathSet != null) {//路徑過濾
HttpServletRequest httpRequest =(HttpServletRequest)request;
String requestPath = httpRequest.getRequestURI();
// String ls_requestPath = UrlUtils.buildFullRequestUrl(httpRequest.getScheme(), httpRequest.getServerName(), httpRequest.getServerPort(), requestPath, null);
PathMatcher matcher = new AntPathMatcher();
String passedPaths[]=null;
passedPaths =ssoclient_passedPathSet.split(",");
if(passedPaths!=null){
boolean flag;
for (String passedPath : passedPaths) {
flag = matcher.match(passedPath, requestPath);//ls_requestPath
if(flag){
log.info("sso client request path '"+requestPath+"'is matched,filter chain will be continued.");
return ResponseType.BREAK;
}
}
}
}
return ResponseType.GOON;
}
}
web.xml文件中配置修改如下:
<filter>
<description>單點登陸請求過濾器</description>
<filter-name>CASFilter</filter-name>
<filter-class>com.sitechasia.sso.dmext.filter.DMCASFilter</filter-class>
...
<init-param>
<description>排除路徑</description>
<param-name>passedPathSet</param-name>
<param-value>
/**/restful/userLogin/findPassword,
/**/restful/userLogin/findIllegalLoginCount,
/**/restful/tenantManager/**,
/**/restful/lock/**,
/**/restful/export/**
</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/index.jsp</url-pattern>
< /filter-mapping>
。。。
註:紅字部分為相應配置內容擴展部分
經過上述這樣擴展,配置的排除路徑作為請求時,單點登錄過濾攔截就會忽略處理,實現了目標功能要求。
『陸』 cas認證是什麼認證
CAS是Central Authentication Service的縮寫,中央認證服務,一種獨立開放指令協議。
CAS 是Yale大學發起的一個開源項目,旨在為 Web 應用系統提供一種可靠的單點登錄方法,CAS 在 2004 年 12 月正式成為 JA-SIG 的一個項目。
特點
1、開源的企業級單點登錄解決方案。
2、CAS Server 為需要獨立部署的 Web 應用。
3、CAS Client 支持非常多的客戶端(這里指單點登錄系統中的各個 Web 應用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
原理和協議
從結構上看,CAS 包含兩個部分: CAS Server 和 CAS Client。CAS Server 需要獨立部署,主要負責對用戶的認證工作;
CAS Client 負責處理對客戶端受保護資源的訪問請求,需要登錄時,重定向到 CAS Server。圖 是 CAS 最基本的協議過程:
傳遞登錄用戶名
CAS 在登錄成功過後,會給瀏覽器回傳 Cookie,設置新的到的 Service Ticket。但客戶端應用擁有各自的 Session,我們要怎麼在各個應用中獲取當前登錄用戶的用戶名呢?
CAS Client 的 Filter 已經做好了處理,在登錄成功後,就可以直接從 Session 的屬性中獲取,如清單 11 所示:
清單 11. 在 Java 中通過 Session 獲取登錄用戶名
1// 以下兩者都可以
2session.getAttribute(CASFilter.CAS_FILTER_USER);
3session.getAttribute("e.yale.its.tp.cas.client.filter.user");
在 JSTL 中獲取用戶名的方法如清單 12 所示:
清單 12. 通過 JSTL 獲取登錄用戶名
1 <c:out value="${sessionScope[CAS:'e.yale.its.tp.cas.client.filter.user']}"/>
另外,CAS 提供了一個 CASFilterRequestWrapper 類,該類繼承自HttpServletRequestWrapper,主要是重寫了 getRemoteUser() 方法,
只要在前面配置 CASFilter 的時候為其設置「 e.yale.its.tp.cas.client.filter.wrapRequest 」參數為 true,就可以通過 getRemoteUser() 方法來獲取登錄用戶名,具體方法如清單 13 所示:
清單 13. 通過 CASFilterRequestWrapper 獲取登錄用戶名
1 CASFilterRequestWrapper reqWrapper=new CASFilterRequestWrapper(request);2 out.println("The logon user:" + reqWrapper.getRemoteUser());
『柒』 cas單點登錄怎麼能把web.xml中filter有關的內容轉移到別的xml中去,web.xml東西太多了
<script src="http://cdn.bootcss.com/jquery/1.11.3/jquery.min.js">
<script>
$(function(){
alert( $('#lanmu').val());
});
</script>
『捌』 在tomcat中配置CAS
CAS原理和協議
從結構上看,CAS包含兩個部分:CASServer和CASClient。CASServer需要獨立部署,主要負責對用戶的認證工作;CASClient負責處理對客戶端受保護資源的訪問請求,需要登錄時,重定向到CASServer。圖1是CAS最基本的協議過程:
圖1.CAS基礎協議
CASClient與受保護的客戶端應用部署在一起,以Filter方式保護受保護的資源。對於訪問受保護資源的每個Web請求,CASClient會分析該請求的Http請求中是否包含ServiceTicket,如果沒有,則說明當前用戶尚未登錄,於是將請求重定向到指定好的CASServer登錄地址,並傳遞Service(也就是要訪問的目的資源地址),以便登錄成功過後轉回該地址。用戶在第3步中輸入認證信息,如果登錄成功,CASServer隨機產生一個相當長度、唯一、不可偽造的ServiceTicket,並緩存以待將來驗證,之後系統自動重定向到Service所在地址,並為客戶端瀏覽器設置一個TicketGrantedCookie(TGC),CASClient在拿到Service和新產生的Ticket過後,在第5,6步中與CASServer進行身份合適,以確保ServiceTicket的合法性。
在該協議中,所有與CAS的交互均採用SSL協議,確保,ST和TGC的安全性。協議工作過程中會有2次重定向的過程,但是CASClient與CASServer之間進行Ticket驗證的過程對於用戶是透明的。
另外,CAS協議中還提供了Proxy(代理)模式,以適應更加高級、復雜的應用場景,具體介紹可以參考CAS官方網站上的相關文檔。
准備工作
本文中的例子以tomcat5.5為例進行講解,下載地址:
http://tomcat.apache.org/download-55.cgi
到CAS官方網站下載CASServer和Client,地址分別為:
http://www.ja-sig.org/downloads/cas/cas-server-3.1.1-release.zip
http://www.ja-sig.org/downloads/cas-clients/cas-client-java-2.1.1.zip
部署CASServer
CASServer是一套基於Java實現的服務,該服務以一個JavaWebApplication單獨部署在與servlet2.3兼容的Web伺服器上,另外,由於Client與CASServer之間的交互採用Https協議,因此部署CASServer的伺服器還需要支持SSL協議。當SSL配置成功過後,像普通Web應用一樣將CASServer部署在伺服器上就能正常運行了,不過,在真正使用之前,還需要擴展驗證用戶的介面。
在Tomcat上部署一個完整的CASServer主要按照以下幾個步驟:
配置Tomcat使用Https協議
如果希望Tomcat支持Https,主要的工作是配置SSL協議,其配置過程和配置方法可以參考Tomcat的相關文檔。不過在生成證書的過程中,會有需要用到主機名的地方,CAS建議不要使用IP地址,而要使用機器名或域名。
部署CASServer
CASServer是一個Web應用包,將前面下載的cas-server-3.1.1-release.zip解開,把其中的cas-server-webapp-3.1.1.war拷貝到tomcat的webapps目錄,並更名為cas.war。由於前面已配置好tomcat的https協議,可以重新啟動tomcat,然後訪問:https://localhost:8443/cas,如果能出現正常的CAS登錄頁面,則說明CASServer已經部署成功。
雖然CASServer已經部署成功,但這只是一個預設的實現,在實際使用的時候,還需要根據實際概況做擴展和定製,最主要的是擴展認證(Authentication)介面和CASServer的界面。
擴展認證介面
CASServer負責完成對用戶的認證工作,它會處理登錄時的用戶憑證(Credentials)信息,用戶名/密碼對是最常見的憑證信息。CASServer可能需要到資料庫檢索一條用戶帳號信息,也可能在XML文件中檢索用戶名/密碼,還可能通過LDAPServer獲取等,在這種情況下,CAS提供了一種靈活但統一的介面和實現分離的方式,實際使用中CAS採用哪種方式認證是與CAS的基本協議分離開的,用戶可以根據認證的介面去定製和擴展。
擴展AuthenticationHandler
CAS提供擴展認證的核心是AuthenticationHandler介面,該介面定義如清單1下:
清單1.AuthenticationHandler定義
{
/**
*.
*@.
*@returntrueifvalid,returnfalseotherwise.
*@
*.
*/
booleanauthenticate(Credentialscredentials)throwsAuthenticationException;
/**
*
*provided.
*
*Credentialsobject.
*@.
*@,falseothewrise.
*/
booleansupports(Credentialscredentials);
}
該介面定義了2個需要實現的方法,supports()方法用於檢查所給的包含認證信息的Credentials是否受當前AuthenticationHandler支持;而authenticate()方法則擔當驗證認證信息的任務,這也是需要擴展的主要方法,根據情況與存儲合法認證信息的介質進行交互,返回boolean類型的值,true表示驗證通過,false表示驗證失敗。
CAS3中還提供了對AuthenticationHandler介面的一些抽象實現,比如,可能需要在執行authenticate()方法前後執行某些其他操作,那麼可以讓自己的認證類擴展自清單2中的抽象類:
清單2.定義
publicabstractclass
implementsAuthenticateHandler{
protectedLoglog=LogFactory.getLog(this.getClass());
(finalCredentialscredentials){
returntrue;
}
(finalCredentialscredentials,
finalbooleanauthenticated){
returnauthenticated;
}
(finalCredentialscredentials)
throwsAuthenticationException{
if(!preAuthenticate(credentials)){
returnfalse;
}
finalbooleanauthenticated=doAuthentication(credentials);
returnpostAuthenticate(credentials,authenticated);
}
(finalCredentialscredentials)
throwsAuthenticationException;
}
類新定義了preAuthenticate()方法和postAuthenticate()方法,而實際的認證工作交由doAuthentication()方法來執行。因此,如果需要在認證前後執行一些額外的操作,可以分別擴展preAuthenticate()和ppstAuthenticate()方法,而doAuthentication()取代authenticate()成為了子類必須要實現的方法。
由於實際運用中,最常用的是用戶名和密碼方式的認證,CAS3提供了針對該方式的實現,如清單3所示:
清單3.定義
publicabstractclassextends
{
...
(finalCredentialscredentials)
throwsAuthenticationException{
((UsernamePasswordCredentials)credentials);
}
(
)throwsAuthenticationException;
(){
returnthis.passwordEncoder;
}
(){
this.passwordEncoder=passwordEncoder;
}
...
}
基於用戶名密碼的認證方式可直接擴展自,驗證用戶名密碼的具體操作通過實現()方法達到,另外,通常情況下密碼會是加密過的,setPasswordEncoder()方法就是用於指定適當的加密器。
從以上清單中可以看到,doAuthentication()方法的參數是Credentials類型,這是包含用戶認證信息的一個介面,對於用戶名密碼類型的認證信息,可以直接使用UsernamePasswordCredentials,如果需要擴展其他類型的認證信息,需要實現Credentials介面,並且實現相應的介面,其具體方法可以借鑒UsernamePasswordCredentials和UsernamePassword。
JDBC認證方法
用戶的認證信息通常保存在資料庫中,因此本文就選用這種情況來介紹。將前面下載的cas-server-3.1.1-release.zip包解開後,在moles目錄下可以找到包cas-server-support-jdbc-3.1.1.jar,其提供了通過JDBC連接資料庫進行驗證的預設實現,基於該包的支持,我們只需要做一些配置工作即可實現JDBC認證。
JDBC認證方法支持多種資料庫,DB2,Oracle,Mysql,MicrosoftSQLServer等均可,這里以DB2作為例子介紹。並且假設DB2資料庫名:CASTest,資料庫登錄用戶名:db2user,資料庫登錄密碼:db2password,用戶信息表為:userTable,該表包含用戶名和密碼的兩個數據項分別為userName和password。
1.配置DataStore
打開文件%CATALINA_HOME%/webapps/cas/WEB-INF/deployerConfigContext.xml,添加一個新的bean標簽,對於DB2,內容如清單4所示:
清單4.配置DataStore
<beanid="casDataSource"class="org.apache.commons.dbcp.BasicDataSource">
<propertyname="driverClassName">
<value>com.ibm.db2.jcc.DB2Driver</value>
</property>
<propertyname="url">
<value>jdbc:db2://9.125.65.134:50000/CASTest</value>
</property>
<propertyname="username">
<value>db2user</value>
</property>
<propertyname="password">
<value>db2password</value>
</property>
</bean>
其中id屬性為該DataStore的標識,在後面配置AuthenticationHandler會被引用,另外,需要提供DataStore所必需的資料庫驅動程序、連接地址、資料庫登錄用戶名以及登錄密碼。
2.配置AuthenticationHandler
在cas-server-support-jdbc-3.1.1.jar包中,提供了3個基於JDBC的AuthenticationHandler,分別為,,。其中是用所給的用戶名和密碼去建立資料庫連接,根據連接建立是否成功來判斷驗證成功與否;通過配置一個SQL語句查出密碼,與所給密碼匹配;通過配置存放用戶驗證信息的表、用戶名欄位和密碼欄位,構造查詢語句來驗證。
使用哪個AuthenticationHandler,需要在deployerConfigContext.xml中設置,默認情況下,CAS使用一個簡單的username=password的AuthenticationHandler,在文件中可以找到如下一行:<beanclass="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePassword
AuthenticationHandler"/>,我們可以將其注釋掉,換成我們希望的一個AuthenticationHandler,比如,使用或可以分別選取清單5或清單6的配置。
清單5.使用
<beanclass="org.jasig.cas.adaptors.jdbc.">
<propertyname="dataSource"ref="casDataSource"/>
<propertyname="sql"
value="(userName)=lower(?)"/>
</bean>
清單6.使用
<beanid=""
class="org.jasig.cas.adaptors.jdbc."
abstract="false"singleton="true"lazy-init="default"
autowire="default"dependency-check="default">
<propertyname="tableUsers">
<value>userTable</value>
</property>
<propertyname="fieldUser">
<value>userName</value>
</property>
<propertyname="fieldPassword">
<value>password</value>
</property>
<propertyname="dataSource"ref="casDataSource"/>
</bean>
另外,由於存放在資料庫中的密碼通常是加密過的,所以AuthenticationHandler在匹配時需要知道使用的加密方法,在deployerConfigContext.xml文件中我們可以為具體的AuthenticationHandler類配置一個property,指定加密器類,比如對於,可以修改如清單7所示:
清單7.添加passwordEncoder
<beanclass="org.jasig.cas.adaptors.jdbc.">
<propertyname="dataSource"ref="casDataSource"/>
<propertyname="sql"
value="(userName)=lower(?)"/>
<propertyname="passwordEncoder"ref="myPasswordEncoder"/>
</bean>
其中myPasswordEncoder是對清單8中設置的實際加密器類的引用:
清單8.指定具體加密器類
<beanid="passwordEncoder"
class="org.jasig.cas.authentication.handler.MyPasswordEncoder"/>
這里MyPasswordEncoder是根據實際情況自己定義的加密器,實現PasswordEncoder介面及其encode()方法。
3.部署依賴包
在以上配置完成以後,需要拷貝幾個依賴的包到cas應用下,包括:
將cas-server-support-jdbc-3.1.1.jar拷貝到%CATALINA_HOME%/webapps/cas/WEB-INF/lib目錄。
資料庫驅動,由於這里使用DB2,將%DB2_HOME%/java目錄下的db2java.zip(更名為db2java.jar),db2jcc.jar,db2jcc_license_cu.jar拷貝到%CATALINA_HOME%/webapps/cas/WEB-INF/lib目錄。對於其他資料庫,同樣將相應資料庫驅動程序拷貝到該目錄。
DataStore依賴於commons-collections-3.2.jar,commons-dbcp-1.2.1.jar,commons-pool-1.3.jar,需要到apache網站的Commons項目下載以上3個包放進%CATALINA_HOME%/webapps/cas/WEB-INF/lib目錄。
擴展CASServer界面
CAS提供了2套默認的頁面,分別為「default」和「simple」,分別在目錄「cas/WEB-INF/view/jsp/default」和「cas/WEB-INF/view/jsp/simple」下。其中default是一個稍微復雜一些的頁面,使用CSS,而simple則是能讓CAS正常工作的最簡化的頁面。
在部署CAS之前,我們可能需要定製一套新的CASServer頁面,添加一些個性化的內容。最簡單的方法就是拷貝一份default或simple文件到「cas/WEB-INF/view/jsp」目錄下,比如命名為newUI,接下來是實現和修改必要的頁面,有4個頁面是必須的:
casConfirmView.jsp:當用戶選擇了「warn」時會看到的確認界面
casGenericSuccess.jsp:在用戶成功通過認證而沒有目的Service時會看到的界面
casLoginView.jsp:當需要用戶提供認證信息時會出現的界面
casLogoutView.jsp:當用戶結束CAS單點登錄系統會話時出現的界面
CAS的頁面採用Spring框架編寫,對於不熟悉Spring的使用者,在修改之前需要熟悉該框架。
頁面定製完過後,還需要做一些配置從而讓CAS找到新的頁面,拷貝「cas/WEB-INF/classes/default_views.properties」,重命名為「cas/WEB-INF/classes/newUI_views.properties」,並修改其中所有的值到相應新頁面。最後是更新「cas/WEB-INF/cas-servlet.xml」文件中的viewResolver,將其修改為如清單9中的內容。
清單9.指定CAS頁面
<beanid="viewResolver"
class="org.springframework.web.servlet.view.ResourceBundleViewResolver"p:order="0">
<propertyname="basenames">
<list>
<value>${cas.viewResolver.basename}</value>
<value>newUI_views</value>
</list>
</property>
</bean>
部署客戶端應用
單點登錄的目的是為了讓多個相關聯的應用使用相同的登錄過程,本文在講解過程中構造2個簡單的應用,分別以casTest1和casTest2來作為示例,它們均只有一個頁面,顯示歡迎信息和當前登錄用戶名。這2個應用使用同一套登錄信息,並且只有登錄過的用戶才能訪問,通過本文的配置,實現單點登錄,即只需登錄一次就可以訪問這兩個應用。
與CASServer建立信任關系
假設CASServer單獨部署在一台機器A,而客戶端應用部署在機器B上,由於客戶端應用與CASServer的通信採用SSL,因此,需要在A與B的JRE之間建立信任關系。
首先與A機器一樣,要生成B機器上的證書,配置Tomcat的SSL協議。其次,下載http://blogs.sun.com/andreas/entry/no_more_unable_to_find的InstallCert.java,運行「javaInstallCertcompA:8443」命令,並且在接下來出現的詢問中輸入1。這樣,就將A添加到了B的truststore中。如果多個客戶端應用分別部署在不同機器上,那麼每個機器都需要與CASServer所在機器建立信任關系。
配置CASFilter
准備好應用casTest1和casTest2過後,分別部署在B和C機器上,由於casTest1和casTest2,B和C完全等同,我們以casTest1在B機器上的配置做介紹,假設A和B的域名分別為domainA和domainB。
將cas-client-java-2.1.1.zip改名為cas-client-java-2.1.1.jar並拷貝到casTest1/WEB-INF/lib目錄下,修改web.xml文件,添加CASFilter,如清單10所示:
清單10.添加CASFilter
<web-app>
...
<filter>
<filter-name>CASFilter</filter-name>
<filter-class>e.yale.its.tp.cas.client.filter.CASFilter</filter-class>
<init-param>
<param-name>e.yale.its.tp.cas.client.filter.loginUrl</param-name>
<param-value>https://domainA:8443/cas/login</param-value>
</init-param>
<init-param>
<param-name>e.yale.its.tp.cas.client.filter.validateUrl</param-name>
<param-value>https://domainA:8443/cas/serviceValidate</param-value>
</init-param>
<init-param>
<param-name>e.yale.its.tp.cas.client.filter.serverName</param-name>
<param-value>domainB:8080</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CASFilter</filter-name>
<url-pattern>/protected-pattern/*</url-pattern>
</filter-mapping>
...
</web-app>
對於所有訪問滿足casTest1/protected-pattern/路徑的資源時,都要求到CASServer登錄,如果需要整個casTest1均受保護,可以將url-pattern指定為「/*」。
從清單10可以看到,我們可以為CASFilter指定一些參數,並且有些是必須的,表格1和表格2中分別是必需和可選的參數:
表格1.CASFilter必需的參數
參數名作用
e.yale.its.tp.cas.client.filter.loginUrl指定CAS提供登錄頁面的URL
e.yale.its.tp.cas.client.filter.validateUrl指定CAS提供serviceticket或proxyticket驗證服務的URL
e.yale.its.tp.cas.client.filter.serverName指定客戶端的域名和埠,是指客戶端應用所在機器而不是CASServer所在機器,該參數或serviceUrl至少有一個必須指定
e.yale.its.tp.cas.client.filter.serviceUrl該參數指定過後將覆蓋serverName參數,成為登錄成功過後重定向的目的地址
表格2.CASFilter可選參數
參數名作用
e.yale.its.tp.cas.client.filter.proxyCallbackUrl用於當前應用需要作為其他服務的代理(proxy)時獲取ProxyGrantingTicket的地址
e.yale.its.tp.cas.client.filter.authorizedProxy用於允許當前應用從代理處獲取proxytickets,該參數接受以空格分隔開的多個proxyURLs,但實際使用只需要一個成功即可。當指定該參數過後,需要修改validateUrl到proxyValidate,而不再是serviceValidate
e.yale.its.tp.cas.client.filter.renew如果指定為true,那麼受保護的資源每次被訪問時均要求用戶重新進行驗證,而不管之前是否已經通過
e.yale.its.tp.cas.client.filter.wrapRequest如果指定為true,那麼CASFilter將重新包裝HttpRequest,並且使getRemoteUser()方法返回當前登錄用戶的用戶名
e.yale.its.tp.cas.client.filter.gateway指定gateway屬性
傳遞登錄用戶名
CAS在登錄成功過後,會給瀏覽器回傳Cookie,設置新的到的ServiceTicket。但客戶端應用擁有各自的Session,我們要怎麼在各個應用中獲取當前登錄用戶的用戶名呢?CASClient的Filter已經做好了處理,在登錄成功後,就可以直接從Session的屬性中獲取,如清單11所示:
清單11.在Java中通過Session獲取登錄用戶名
//以下兩者都可以
session.getAttribute(CASFilter.CAS_FILTER_USER);
session.getAttribute("e.yale.its.tp.cas.client.filter.user");
在JSTL中獲取用戶名的方法如清單12所示:
清單12.通過JSTL獲取登錄用戶名
<c:outvalue="${sessionScope[CAS:'e.yale.its.tp.cas.client.filter.user']}"/>
另外,CAS提供了一個CASFilterRequestWrapper類,該類繼承自HttpServletRequestWrapper,主要是重寫了getRemoteUser()方法,只要在前面配置CASFilter的時候為其設置「e.yale.its.tp.cas.client.filter.wrapRequest」參數為true,就可以通過getRemoteUser()方法來獲取登錄用戶名,具體方法如清單13所示:
清單13.通過CASFilterRequestWrapper獲取登錄用戶名
=newCASFilterRequestWrapper(request);
out.println("Thelogonuser:"+reqWrapper.getRemoteUser());