最近一直在研究cas登錄中心這一塊的應用，分享一下記錄的一些筆記和心得。后面會把cas-server端的配置和重構，另外還有這幾天再搞nginx+cas的https反向代理配置，以及cas的證書相關的知識分享出來。

Cas由兩部分組成，Cas Server和Cas Client。Cas Server是Cas自己的服務端，而Cas Client是Cas客戶端，往往客戶端需要和我們具體的業務系統進行集成，這里我們主要詳述cas 客戶端的配置以及實例

第一步：

我們得有一個現成的web項目，然后我們要加入cas-client-core-xxx.jar到classpath；

maven項目用這個：

<dependency><groupId>org.jasig.cas.client</groupId><artifactId>cas-client-core</artifactId><version>3.3.3</version> </dependency>

這里我使用?cas-client-core-3.3.3.jar，順便推薦一個用來搜索和下載引用包的網站，我一般從這里下載引用包：http://mvnrepository.com/artifact/org.jasig.cas.client/cas-client-core/3.3.3

第二步：配置單點登錄Filter和注銷監聽器/過濾器

?我們需要在應用的web.xml文件中配置四個Filter，這四個Filter必須按照固定的順序來進行配置，而且它們必須配置在應用的其它Filter之前。它們的先后順序要求如下：
1、AuthenticationFilter
2、TicketValidationFilter
3、HttpServletRequestWrapperFilter
4、AssertionThreadLocalFilter

1.1、?配置AuthenticationFilter

?1.1.1、AuthenticationFilter有兩個必須指定的參數：

casServerLoginUrl用來指定Cas Server登錄地址，serverName或service用來指定認證成功后需要跳轉地址。

補充：

service和serverName一般只需要指定一個，如果都指定了，參數service將具有更高的優先級，即以service指定的參數值為準。

service和serverName的區別：

service指定的是一個確定的URL，認證成功后就會確切的跳轉到service指定的URL；

serverName用來指定主機名，格式為{http/https}:{主機名}:{端口號}

如：https://localhost:8335，當指定的是serverName時，AuthenticationFilter將會把它附加上當前請求的URI，以及對應的查詢參數來構造一個確定的URL，如指定serverName為“http://localhost”，而當前請求的URI為“/login”，查詢參數為“user=123&pwd=123”，則對應認證成功后的跳轉地址將為“http://localhost/login?user=123&pwd=123”。）

?AuthenticationFilter可以指定如下可選參數：
renew：當指定renew為true時，在請Cas Server時將帶上參數“renew=true”，默認為false。
gateway：指定gateway為true時，在請求Cas Server時將帶上參數“gateway=true”，默認為false。
artifactParameterName：指定ticket對應的請求參數名稱，默認為ticket。
serviceParameterName：指定service對應的請求參數名稱，默認為service。

例如，我是這樣配置的：

<filter><filter-name>casAuthenticationFilter</filter-name><filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class><init-param><param-name>casServerLoginUrl</param-name><param-value>https://cas.eguid.cn:8335/cas-server/</param-value></init-param><init-param><param-name>serverName</param-name><param-value>http://sso.eguid.cn:8080/</param-value></init-param></filter><filter-mapping><filter-name>casAuthenticationFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>

1.2、配置TicketValidationFilter

請求通過AuthenticationFilter的認證之后，如果請求中攜帶了參數ticket則將會由TicketValidationFilter來對攜帶的ticket進行校驗。

TicketValidationFilter只是對驗證ticket的這一類Filter的統稱，其并不對應Cas Client中的一個具體類型。

Cas Client中有多種驗證ticket的Filter，都繼承自AbstractTicketValidationFilter，它們的驗證邏輯都是一致的，都有AbstractTicketValidationFilter實現，不同的是使用的TicketValidator不一樣。這里我們使用Cas10TicketValidationFilter，也可以使用Cas20ProxyReceivingTicketValidationFilter或者Saml11TicketValidationFilter。

<filter><filter-name>casTicketValidationFilter</filter-name><filter-class>org.jasig.cas.client.validation.Cas10TicketValidationFilter</filter-class><init-param><param-name>casServerUrlPrefix</param-name><param-value>https://cas.eguid.cn:8335/cas-server/</param-value></init-param><init-param><param-name>serverName</param-name><param-value>http://sso.eguid.cn:8080/</param-value></init-param></filter><filter-mapping><filter-name>casTicketValidationFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
必須指定的參數：

casServerUrlPrefix 用來指定Cas Server對應URL地址的前綴，如上面示例的“https://cas.eguid.cn:8335/cas-server。
serverName或service：與前面的用法相同。

??

可選參數：
redirectAfterValidation ：表示是否驗證通過后重新跳轉到該URL，但是不帶參數ticket，默認為true。
useSession ： ? ? ? ? ? ? ? ?在驗證ticket成功后會生成一個Assertion對象，如果useSession為true，則會將該對象存放到Session中。如果為false，則要求每次請求都需要攜帶ticket進行驗證，顯然useSession為false跟redirectAfterValidation為true是沖突的。默認為true。
exceptionOnValidationFailure ：表示ticket驗證失敗后是否需要拋出異常，默認為true。
renew： ? ? ? ? ? ? ? ? ? ? ? ? 當值為true時將發送“renew=true”到Cas Server，默認為false。
?
1.3、配置HttpServletRequestWrapperFilter

?HttpServletRequestWrapperFilter用于將每一個請求對應的HttpServletRequest封裝為其內部定義的CasHttpServletRequestWrapper，該封裝類將利用之前保存在Session或request中的Assertion對象重寫HttpServletRequest的getUserPrincipal()、getRemoteUser()和isUserInRole()方法。這樣在我們的應用中就可以非常方便的從HttpServletRequest中獲取到用戶的相關信息。

<filter><filter-name>casHttpServletRequestWrapperFilter</filter-name><filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class></filter><filter-mapping><filter-name>casHttpServletRequestWrapperFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
1.4、配置AssertionThreadLocalFilter

?AssertionThreadLocalFilter可以在應用的其它地方獲取Assertion對象，找個過濾器會把Assertion對象存放到當前的線程變量中，我們在程序的任何地方都可以從線程變量中獲取當前Assertion，就不需要再從Session或request中進行解析了。這個線程變量是由AssertionHolder持有的，我們在獲取當前的Assertion時也只需要通過AssertionHolder的getAssertion()方法獲取即可，如：
? ?Assertion assertion = AssertionHolder.getAssertion();

我是這樣配置的：

<filter><filter-name>casAssertionThreadLocalFilter</filter-name><filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class></filter><filter-mapping><filter-name>casAssertionThreadLocalFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>

1.5、配置單點注銷監聽器和過濾器用于統一注銷

<!-- 單點注銷監聽器 --> <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class> </listener> <!-- 單點注銷過濾器 --> <filter><filter-name>caslogoutFilter</filter-name><filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> </filter> <filter-mapping><filter-name>caslogoutFilter</filter-name><url-pattern>/*</url-pattern> </filter-mapping>

當你真的登錄成功后，你會發現，你回不到原來頁面了！怎么辦？其實我們只要在前端給他一個參數就行了，可以這樣簡單實現這個功能：

//登錄中心url var loginCenter = "https://cas.eguid.cn:8335/cas-server"; function getUrl() {var hostname = location.href;return hostname; } //登陸 function login() {location.href = loginCenter + "/login?service=" + getUrl(); } //登錄中心執行登出操作 function logoutServ() {alert("開始登出");var loginUrl = loginCenter + "/login?service=" + getUrl();location.href = loginCenter + "/logout?service=" + loginUrl; }在頁面上的你得有登錄和退出兩個按鈕，分別調用login()和logoutServ()方法。

其實這里還有個小問題，就是雖然你在cas-server端注銷了，你會發現它依然會認為你現在是登錄狀態，所以沒有攔截你的請求。

這是因為它時基于session驗證的，你的server端session已經注銷了，但是客戶端應用這里的session還沒有注銷

一般我們會使用共享session的方法解決這個問題，另外有個簡單的方法就是你可以在后臺寫個用來注銷當前用戶session的接口。

轉載于:https://www.cnblogs.com/eguid/p/10195648.html

總結

以上是生活随笔為你收集整理的cas单点登录系统：客户端(client)详细配置（包含统一单点注销配置）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。