从零开始学CAS单点登录——实例Demo

一、修改系统host,加入

二、安装gradle,配置好环境变量（请参考gradle的相关资料）

三、首先到github下在CAS的发布的相应版本，https://github.com/apereo/cas/releases，解压出来

进入cas-server-webapp目录，在此目录下打开cmd

输入gradle build回车，build successful编译打包成功之后，会生成一个build目录，进入到build的lib目录这里我们就看到了CAS认证服务端的war包。

第四步、配置tomcat的HTTPS

【安全证书配置】:

1. 打开cmd命令窗口

2. 生成证书，在cmd窗口输入以下命令：

keytool -genkey -alias ssodemo -keyalg RSA -keysize 1024 -keypass zhoubang -validity 365 -keystore c:\zhoubang.keystore -storepass zhoubang

【说明】：-alias后面的别名可以自定义，-keypass指定证书密钥库的密码, -storepass和前面keypass密码相同,否则下面tomcat 配置https 会访问失败 -keystore指定证书的位置,这里指定放在c盘根目录,密钥库名称可以自定义，这里是zhoubang.keystore

3. 命令输入完成，回车之后，会提示你输入一些资料，见下图：

【注意】：第一个让你输入的“您的名字与姓氏是什么”

4.导出证书：

在cmd窗口继续输入以下命令，导出证书:

keytool -export -alias ssodemo -keystore c:\zhoubang.keystore -file c:\ssodemo.crt -storepass zhoubang

【说明】：-alias后面的名称要与生成证书的命令里面的alias的名称一致. –keystore后面指定证书存放的位置，这里我放在C盘根目录，同时证书名称要与【生成证书】对应的命令里的keystore名称一致.这里是zhoubang.keystore，-file后面才crt路径，我也指定在c盘根目录. –storepass的证书密码要与上面输入的密码一致.

如下图所示：

我们再看看c盘下面是否生成crt文件:

5.客户端导入证书

在cmd窗口输入命令:

keytool -import -keystore %JAVA_HOME%\jre\lib\security\cacerts -file c:\ ssodemo.crt -alias ssodemo

【说明】：-file指定证书的位置，也就是上一步导出证书的位置，即c:\ ssodemo.crt 命令中指定了JAVA_HOME，意思是将证书导入到客户端证书库，也就是jdk证书库中.因为客户端应用运行在本地，需要jdk的支持。

回车之后，会让你输入密钥库口令，注意，这里的密码必须要输入changeit，不能输入上面指定的密码zhoubang，切记，否则导入客户端证书会有问题，如果是多台机器演示，需要在每一台客户端导入该证书，步骤都是一样的。当看到提示“是否信任此证书”，输入y回车即可，见下图：(说明，命令中的-alias后面的别名可以自定义,如果出现【证书未导入，别名已经存在】的错误，该意思是说客户端的密钥库中已经存在该别名证书了，重新指定其他别名即可.)

至此，CAS所需的证书环境，已经配置好。

下面，开始我们的CAS服务、Tomcat、以及多客户端的配置及测试访问。

部署CAS-Server相关的Tomcat

1. 配置HTTPS

解压apache-tomcat-7.0.57-windows-x64.zip，我本地路径为E:\apache-tomcat-7.0.57，编辑E:\apache-tomcat-7.0.57\conf\server.xml，找到下面片段：

–>

去掉注释，修改成：

其中，keystoreFile就是创建证书的路径，keystorePass就是创建证书的密码.

2. 验证HTTPS配置

其他按照默认配置不作修改，双击E:\apache-tomcat-7.0.57\bin \startup.bat 启动tomcat 验证https是否配置成功，我本地使用火狐浏览器访问，在地址栏输入

https://server.test.com:8443/ 出现下面画面，其实这就表明cas服务端tomcat的https配置是没有问题了.

点击【我已充分了解可能的风险】,点击出现的【添加例外】—【确认安全例外】，，将会出现下面tomcat默认首页.tomcat已经支持https协议访问了，一切ok!

第五步、将war包重命名为cas-server-webapp.war，放到tomcat的webapps目录，进入自动解压的文件夹

打开属性配置文件

这个就是测试用户名和密码输入用户名密码验证登录

说明部署是没问题的。

第六步、创建一个MySQL数据库，新建一张users表，添加username和password字段

第七步、配置数据库认证

参考官方文档：https://apereo.github.io/cas/4.2.x/installation/Database-Authentication.html#database-components

首先拷贝MySQL驱动到cas-server-webapp项目的lib目录下然后到下载的CAS源码的cas-server-support-jdbc目录下gradle build编译jdbc的支持jar包

编译好之后，同样到build》libs目录下拷贝cas-server-support-jdbc-4.2.7.jar包到cas-server-webapp项目的lib目录下

打开deployerConfigContext.xml配置文件将这一行注释掉

加入

，然后打开cas.properties,加入数据库的相关配置如下：（请修改为自己的数据库地址，用户名和密码）

# == Basic database connection pool configuration ==database.driverClass=com.mysql.jdbc.Driverdatabase.url=jdbc:mysql://127.0.0.1:3306/sso_test?useUnicode=true&characterEncoding=UTF-8&database.user=rootdatabase.password=admindatabase.pool.minSize=6database.pool.maxSize=18# Maximum amount of time to wait in ms for a connection to become# available when the pool is exhausteddatabase.pool.maxWait=10000# Amount of time in seconds after which idle connections# in excess of minimum size are pruned.database.pool.maxIdleTime=120# Number of connections to obtain on pool exhaustion condition.# The maximum pool size is always respected when acquiring# new connections.database.pool.acquireIncrement=6# == Connection testing settings ==# Period in s at which a health query will be issued on idle# connections to determine connection liveliness.database.pool.idleConnectionTestPeriod=30# Query executed periodically to test healthdatabase.pool.connectionHealthQuery=select 1# == Database recovery settings ==# Number of times to retry acquiring a _new_ connection# when an error is encountered during acquisition.database.pool.acquireRetryAttempts=5# Amount of time in ms to wait between successive aquire retry attempts.database.pool.acquireRetryDelay=2000

然后重启tomcat,验证登录

输入数据库的账号密码

至此CAS单点登录认证服务端就部署好了。