CAS作為開源的單點登陸框架已經非常的流行了。由于它對已有系統的入侵性小，支持的語言多，備受廣大開發者關注；也是很多公司將之作為單點登陸的首選框架。關于CAS如何搭建的文章，網上已經非常多了，隨便搜搜都一大堆。我也就不再寫些重復的東西了，但是網上的東西有時候常常是不全，或版本問題搞的很多人都很迷糊。我曾經也很迷糊，如果剛接觸CAS，請你繼續往下看；如果你是CAS高手，請指正我說錯的地方。

CAS最早是耶魯大學開發的（CAS2.0以前的版本），后來開源出來由JASIG來繼續開發（CAS2.0以后的版本）。所以，當你準備那某一片文章上手練習的時候請分清版本。個人建議還是閱讀JASIG官方文檔比較好。https://wiki.jasig.org/display/CASC

一個完整的單點登陸方案分兩部分

CAS server

CAS server如何配置就不多說了，基本的步驟就是

1. 下載CAS server包

2. 配置Tomcat的Https訪問設置

3. 部署CAS server，其實就是將.war文件拷貝到Tomcat目錄下

4. 生成證書（可以買，也可以使用自簽名證書，或者干脆就用http協議，那就不需要證書了）

5. 修改用戶訪問配置（CAS支持關系數據庫，LDAP等多種數據存儲）

?

CAS client

CAS client是部署在應用端的，因為通常單點登陸都會涉及到對已有系統的改造。所以，client端的侵入性就變的很重要。侵入性越小，越容易部署和測試。CAS框架的優點之一就在于它的client端對應用系統的侵入性比較小。對于Java的Web項目來說，你只需要在web.xml里面添加一個filter，拷貝CAS client的jar包到應用系統，然后改造登陸認證過程即可。如果CAS server用的是Https，那就還需要將證書導入到JVM的可信證書域中,通常是（$JAVA_HOME/lib/security/cacerts）。

?

所有的一切看著都挺簡單的，但實際部署中你會遇到各式各樣的問題。有很多問題網上都有人解答，這里我就記錄一下我遇到的一個沒找到答案的問題？

現象：

當你配置完CAS server， 也部署了CAS client后。用https登陸CAS server也都沒問題時，而你無論如何都無法在登陸后跳轉到你期待的頁面。盡管一切看起來都配置對了，證書也導了，https也配了，filter也加了。但是還是不停的拋CAS ticket validation expection, CAS server no response錯誤。

解決方案：

請檢查你的client是否把4個filter都配置全了，并且順序要對。

<!-- CAS SSO --><filter><filter-name>CAS Authentication Filter</filter-name><filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class><init-param><param-name>casServerLoginUrl</param-name><param-value>https://cas-server:8443/cas/login</param-value></init-param><init-param><param-name>renew</param-name><param-value>false</param-value></init-param><init-param><param-name>gateway</param-name><param-value>false</param-value></init-param><init-param><param-name>serverName</param-name><param-value>http://client-host:8080</param-value></init-param></filter><filter><filter-name>CAS Validation Filter</filter-name><filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class><init-param><param-name>casServerUrlPrefix</param-name><param-value>https://cas-server:8443/cas/</param-value></init-param><init-param><param-name>serverName</param-name><param-value>http://client-host:8080</param-value></init-param><init-param><param-name>useSession</param-name><param-value>true</param-value></init-param><init-param><param-name>redirectAfterValidation</param-name><param-value>true</param-value></init-param></filter><filter><filter-name>CAS HttpServletRequest Wrapper Filter</filter-name><filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class></filter><filter><filter-name>CAS Assertion Thread Local Filter</filter-name><filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class></filter><filter-mapping><filter-name>CAS Authentication Filter</filter-name><url-pattern>/sso/*</url-pattern></filter-mapping><filter-mapping><filter-name>CAS Validation Filter</filter-name><url-pattern>/sso/*</url-pattern></filter-mapping><filter-mapping><filter-name>CAS HttpServletRequest Wrapper Filter</filter-name><url-pattern>/sso/*</url-pattern></filter-mapping><filter-mapping><filter-name>CAS Assertion Thread Local Filter</filter-name><url-pattern>/sso/*</url-pattern></filter-mapping>

官方文檔特別說明這4個Filter是必須的

The correct order of the filters in web.xml is necessary:

AuthenticationFilter

TicketValidationFilter (whichever one is chosen)

HttpServletRequestWrapperFilter

AssertionThreadLocalFilter

這里我要說明一下為什么這4個filter是必須要配的。

?AuthenticationFilter的作用是用于攔截SSO登陸請求的，當你提交的request符合SSO登陸規則，CAS client會通過這個filter將登陸請求轉向到CAS server的登陸界面。因為這是第一步，所以它要在最上面。

TicketValidationFilter的作用是用于攔截登陸返回的跳轉請求的。當CAS server確認登陸用戶名密碼后，會返回一個server ticket，這個ticket會由應用服務器上的CAS client再送回CAS server進行驗證，用于防止仿冒攻擊的。

HttpServletRequestWrapperFilter的目的是將CAS server返回的信息封裝到Http request里面，這樣客戶端就可以用request.getRemoteUser()來獲取用戶名等信息了。

AssertionThreadLocalFilter的作用是用于前端程序（通常是前端腳本程序）訪問，因為這個時候你無法通過request來獲取信息。

所以如果這4個filter不配置正確，就會報各種錯誤。

總結

以上是生活随笔為你收集整理的单点登陆框架CAS的研究的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。