心血来潮想给公司搭个单点登录系统,毕竟内网这么多系统,每个系统都一套账号密码,这样好low。CAS提供了一个统一认证服务,所有系统直接向CAS去请求登陆认证,而用户只在CAS登陆一次就够了,在大一点的公司里基本都有这种服务,叫SSO(Single sign-on)。
找了找开源的SSO,看到了CAS,感觉挺屌的,一直在更新,就他了。然后就开始爬坑了,记录一下,免得日后忘了又爬一次。
CAS-Overlay-Template
这个项目很大,还需要很多自定义配置,所以不可能做成开箱即用。CAS-Overlay-Template 就是一个模板项目,clone下来, 修改配置,然后是直接跑还是打包war或者打包docker都好说。
新版本的 CAS-Overlay-Template 已经改为Gradle编译,我喜欢Gradle。
clone下来后,直接 先运行
./build.sh copy
再运行
./build.sh run
就跑起来了。
编译配置
跑起来个屁。
默认是CAS 6.0版本,直接用Java11了,要跑6.0版本先去装个jdk11,配好环境。我踩坑的时候6.0还是RC版本,发现有bug就还是滚回5.3.5,配置这些东西在gradle.properties里
# Versions
cas.version=5.3.5 // 可以改成6.0.0-rc3
springBootVersion=2.1.0.RELEASE
appServer=-tomcat
gradleVersion=4.10.2
tomcatVersion=9
tomcatFullVersion=9.0.12
group=你的组织名
sourceCompatibility=8 // 6.0以上就改成11
targetCompatibility=8 // 6.0以上就改成11
# Location of the downloaded CAS shell JAR
shellDir=build/libs
# use without "-slim" in tag name if you want tools like jstack, adds about 100MB to image size
baseDockerImage=openjdk:8-slim // 6.0以上就改成11
同时,还有增加几个依赖,因为CAS完全是插件化设计
compile "org.apereo.cas:cas-server-support-jdbc:${casServerVersion}"
compile "org.apereo.cas:cas-server-support-jdbc-drivers:${casServerVersion}"
compile "org.apereo.cas:cas-server-support-pm:${casServerVersion}"
compile "org.apereo.cas:cas-server-support-pm-jdbc:${casServerVersion}"
然后下1个小时依赖就可以跑起来了,可喜可贺,可喜可贺。
配置目录
这个目录,里面包含了所有的配置,基本上改这里面的东西就够了。
这个配置目录是如何生效的?
之所以先运行 ./build.sh copy 是因为
function copy() {
echo -e "Creating configuration directory under /etc/cas"
mkdir -p /etc/cas/config
echo -e "Copying configuration files from etc/cas to /etc/cas"
cp -rfv ./etc/cas/* /etc/cas
}
他会把配置文件复制进系统配置目录,然后 Springboot 启动后会去读这个系统配置目录。
另外,注意一下 src/main/jib/docker/entrypoint.sh 里面是类似 Dockerfile
#!/bin/sh
#echo -e "\nChecking java..."
#java -version
#echo -e "\nCreating CAS configuration directories..."
mkdir -p /etc/cas/config
mkdir -p /etc/cas/services
#echo "Listing provided CAS docker artifacts..."
#ls -R docker/cas
#echo -e "\nMoving CAS configuration artifacts..."
mv docker/cas/thekeystore /etc/cas 2>/dev/null
mv docker/cas/config/*.* /etc/cas/config 2>/dev/null
mv docker/cas/services/*.* /etc/cas/services 2>/dev/null
#echo -e "\nListing CAS configuration under /etc/cas..."
#ls -R /etc/cas
echo -e "\nRunning CAS..."
exec java -Xms512m -Xmx2048M -XX:+TieredCompilation -XX:TieredStopAtLevel=1 -jar docker/cas/war/sso.war
打包镜像时,也会直接把配置目录复制进镜像的系统配置目录
build.sh
常用操作 build.sh 都已经写好了,常用的比如
- ./build.sh copy 复制配置到系统目录
- ./build.sh run 运行CAS
- ./build.sh docker 打包镜像
- ./build.sh debug Debug CAS
配置
然后几乎所有的服务配置都在 cas/config/cas.properties 里
一点一点的补充吧,把example.com换成自己的域名。
下面是 5.3.5的配置,5.2.x 的配置不一样,6.0.0也不一样,文档没写,我也不写🙂。
后文会介绍怎么去源码看当前版本的配置项
服务地址
cas.server.name=http://sso.example.com
cas.server.prefix=${cas.server.name} //要使用根Path访问,比如 http://sso.example.com 就这样。默认值是`${cas.server.name}/cas`
server.context-path= //对,就是空,这样就可以使用根Path访问了,默认值是 /cas
server.port=443 // HTTPS的端口,默认8443
cas.server.http.enabled=true // 开启HTTP,默认只有HTTPS,而且我只知道怎么开HTTP,不知道怎么关HTTPS
cas.server.http.port=80 // 设置HTTP端口,默认8080
上面这几个配置挺操蛋的,我以为 cas.server.prefix 改了就可以 http://sso.example.com 直接访问了,结果还是要加上/cas才能访问,这个配置是假的,只是用于各种重定向url填充用。server.context-path 才是真正的 Path。
数据库认证
cas.authn.accept.users= // 留空才会禁用 Static Authentication
cas.authn.jdbc.query[0].dialect=org.hibernate.dialect.MySQLDialect
cas.authn.jdbc.query[0].driverClass=com.mysql.jdbc.Driver
cas.authn.jdbc.query[0].url=jdbc:mysql://xxxxxxxxxxxxxxxx?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false
cas.authn.jdbc.query[0].user=xxxxxxx
cas.authn.jdbc.query[0].password=xxxxxxxxx
cas.authn.jdbc.query[0].sql=select * from user where name=?
// 这些配置懒得讲了,网上大部分文章讲的都没问题
cas.authn.jdbc.query[0].fieldPassword=password
cas.authn.jdbc.query[0].fieldExpired=expired
cas.authn.jdbc.query[0].fieldDisabled=disabled
cas.authn.jdbc.query[0].passwordEncoder.type=DEFAULT
cas.authn.jdbc.query[0].passwordEncoder.characterEncoding=UTF-8
cas.authn.jdbc.query[0].passwordEncoder.encodingAlgorithm=MD5
配置数据库认证很简单。去给数据库建个表。填一下字段名和Sql,就可以了。然后跑一下试试吧
密码管理-邮件
CAS支持密码管理功能,直接网页上点忘记密码,就给你邮箱发重置邮件,配置比较多,坑也很多
# 发送邮件,我用的腾讯企业邮
spring.mail.host=smtp.exmail.qq.com
spring.mail.port=465
spring.mail.username=xxxxxx@example.com
spring.mail.password=xxxxxxx
# 这是腾讯企业邮的配置,其他邮箱自己配,可能有些坑,但这个不管CAS的事
spring.mail.properties.mail.smtp.auth=true
spring.mail.properties.mail.smtp.socketFactory.port=465
spring.mail.properties.mail.smtp.socketFactory.class=javax.net.ssl.SSLSocketFactory
spring.mail.properties.mail.smtp.socketFactory.fallback=false
spring.mail.properties.mail.smtp.ssl=true
密码管理-数据库
改改自己的SQL就好了
cas.authn.pm.enabled=true // 开启修改密码功能
cas.authn.pm.autoLogin=true // 修改密码后自动登录
cas.authn.pm.jdbc.autocommit=true // 加就是了
cas.authn.pm.jdbc.sqlFindEmail=SELECT email FROM user WHERE name=?
cas.authn.pm.jdbc.sqlChangePassword=UPDATE user SET password=? WHERE name=?
cas.authn.pm.jdbc.url=${cas.authn.jdbc.query[0].url}
cas.authn.pm.jdbc.user=${cas.authn.jdbc.query[0].user}
cas.authn.pm.jdbc.password=${cas.authn.jdbc.query[0].password}
cas.authn.pm.jdbc.dialect=${cas.authn.jdbc.query[0].dialect}
cas.authn.pm.jdbc.driverClass=${cas.authn.jdbc.query[0].driverClass}
# 密码修改加密规则,这个必须要和原始密码加密规则一致
cas.authn.pm.jdbc.passwordEncoder.type=${cas.authn.jdbc.query[0].passwordEncoder.type}
cas.authn.pm.jdbc.passwordEncoder.characterEncoding=${cas.authn.jdbc.query[0].passwordEncoder.characterEncoding}
cas.authn.pm.jdbc.passwordEncoder.encodingAlgorithm=${cas.authn.jdbc.query[0].passwordEncoder.encodingAlgorithm}
cas.authn.pm.jdbc.passwordEncoder.secret=${cas.authn.jdbc.query[0].passwordEncoder.secret}
密码管理-业务配置
cas.authn.pm.reset.mail.from=${spring.mail.username}
cas.authn.pm.reset.mail.subject=[XXX公司 SSO系统] 重置密码
# 邮件内容,必须要有%s,因为会生成一个连接并且带了token,否则无法打开链接,当然这个链接也和cas.server.prefix有关系
cas.authn.pm.reset.mail.text=[季诺科技 SSO]打开以下链接重置您的密码,10分钟后失效: %s
cas.authn.pm.reset.expirationMinutes=10 // 邮件有效期
cas.authn.pm.reset.securityQuestionsEnabled=false // 问题验证,我觉得这个操作很蠢,就关了
# 8-32位,必须包含大小写字母,数字,字符。你可以填其他密码检验正则
cas.authn.pm.policyPattern=^(?=.*[a-z])(?=.*[A-Z])(?=.*\\d)(?=.*[$@$!%*?&])[A-Za-z\\d$@$!%*?&]{8,32}
神坑
路由转发环境下的IP校验
到这里可能本地跑起来没问题了,修改密码都正常。一部署到线上就不能修改密码,从邮箱验证链接点过去,CAS每次都拒绝此次密码修改请求。为啥?
翻了大片的源码,终于找到了原因。邮箱里收到的链接参数是加了密的,取消加密的话就很容易看出问题。
http://sso.example.com/login?pswdrst={"jti":"ad06632d-dcee-43e0-bf0f-639150912b96","iss":"http://sso.example.com","aud":"http://sso.example.com","exp":1542541827,"iat":1542541227,"origin":"17*.17*.0.11","client":"1*.1*.97.138","sub":"jude"}
token里包含了请求邮件验证时的客户端IP,也不知道为啥,Nginx转发后,他拿到的IP就老是不对,点击链接访问时,IP对不上他就不认这次请求。
普通的直接部署的CAS系统,不加这个没问题。但我们的内网环境是有一台Nginx路由,所有请求都会经过他转发,就出问题。
差点去改源码了,好在无聊翻源码时找到,CAS原来留了一手来处理这个问题。
cas.audit.alternateClientAddrHeaderName=X-Forwarded-For
添加这个配置, CAS就会从Header里读X-Forwarded-For来确认客户端IP,这样就不存在转发后IP不对的问题了。
6.0版本的密码修改BUG
我也不清楚6.0版本加了找回用户名这个积累功能后,为啥找回密码页面他老是发请求到找回用户名的接口上去。导致找回密码和找回用户名2个功能都不能正常工作。源码好多,对JSP无力,没细查,改回5.3.5,BUG消失,放弃6.0。
找配置文档
我上面的配置有很多,官网文档写的很糟,又少又老还跳来跳去,还每个版本都要改配置项(5.2.x, 5.3.x, 6.0.x都很多不一样)。
网上大部分文档都是5.2版本的祖传配置,一开始真是恶心死我了。
还是得自己去翻源码,先找到 CasServerProperties 这个类,他在
这个类就是配置的映射,还有少数注释讲了很多官方文档没说的操作。
照着这个类来填配置就行了。
弃坑
好不容易终于跑起来这个坑B玩意了,但十分不建议使用CAS,CAS优势是开放,适合二次开发。
但十分难用......去用keycloak吧。配置简单,界面还好看。
