CAS (3) —— Mac下配置CAS客户端经代理访问Tomcat CAS
2015-12-14 17:12
465 查看
CAS (3) —— Mac下配置CAS客户端经代理访问Tomcat CAS
tomcat版本: tomcat-8.0.29jdk版本: jdk1.8.0_65
nginx版本: nginx-1.9.8
cas版本: cas4.1.2
cas-client-3.4.1
参考来源:
CAS实现单点登录(SSO)经典完整教程
CAS 4.0 配置开发手册
cas客户端应用实现
使用 CAS 在 Tomcat 中实现单点登录
Tomcat (1) —— Mac下配置Tomcat Https/SSL
【高可用HA】Apache (2) —— Mac下安装多个Apache Tomcat实例
【高可用HA】Nginx (1) —— Mac下配置Nginx Http负载均衡(Load Balancer)之101实例
Mac为nginx安装nginx-sticky-module
CAS (1) —— Mac下配置CAS到Tomcat(服务端)
CAS (2) —— Mac下配置CAS到Tomcat(客户端)
目标架构
准备
要搭建上面这个环境会相对复杂,我们需要参照之前的文章准备以下必备的组件或环境:2个Tomcat服务器作为客户端应用程序服务器(即cas的客户端)
app1.hoau.com:8081/8413(http/https) app2.hoau.com:8082/8423(http/https)
参照Tomcat Cluster、Tomcat SSL和CAS Client
1个Nginx服务器作为中间层代理转发服务器(后可扩展为LoadBalancer)
proxy.sso.hoau.com:85/?(http/https)
参照Nginx Load Balancer与Nginx Sticky Session
另一个1个带有SSL的Tomcat服务器作为CAS服务器
sso.hoau.com:8083/8433(http/https)
参照Tomcat SSL与CAS Server
配置
我们在之前的文章中已经实现了通过app1和app2客户端直连CAS服务器,从而实现SSO的目的:CAS (1) —— Mac下配置CAS到Tomcat(服务端)
CAS (2) —— Mac下配置CAS到Tomcat(客户端)
基于以上的配置web.xml,我们首先需要将两个app的SSO服务器指向nginx proxy(http://proxy.sso.hoau.com:85/cas/login),其中:
APP1: app1.hoau.com:8081/8413(http/https)
CAS Authentication Filter
<init-param> <param-name>casServerLoginUrl</param-name> <!-- <param-value>https://sso.hoau.com:8433/cas/login</param-value> --> <param-value>http://proxy.sso.hoau.com:85/cas/login</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>https://app1.hoau.com:8413</param-value> </init-param>
CAS Validation Filter
<init-param> <param-name>casServerUrlPrefix</param-name> <!-- <param-value>https://sso.hoau.com:8433/cas</param-value> --> <param-value>http://proxy.sso.hoau.com:85/cas</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>https://app1.hoau.com:8413</param-value> </init-param>
APP2: app2.hoau.com:8082/8423(http/https)
同上
Nginx Proxy: proxy.sso.hoau.com:85/?(http/https)
修改nginx.conf:
upstream localhost {
#根据ip计算将请求分配各那个后端tomcat,许多人误认为可以解决session问题,其实并不能。
#同一机器在多网情况下,路由切换,ip可能不同
#ip_hash;
sticky;
#Richard: http
#server localhost:8083;
#server localhost:8084;
#Richard: https todo
server sso.hoau.com:8433;
#server sso.hoau.com:8443;
}并开放https Proxy_ByPass
location / {
proxy_connect_timeout 3;
proxy_send_timeout 30;
proxy_read_timeout 30;
#proxy_pass http://localhost; proxy_pass https://localhost; }* 注意: 在CAS目标服务器为单节点时,sticky参数客户忽略,默认为ip_hash。
测试
我们清空浏览器的cache和cookie,按照下列步骤操作访问"https://app1.hoau.com:8413/cas1"
系统会将我们重定向到
"http://proxy.sso.hoau.com:85/cas/login"。
输入用户名密码"test01/psw01"
登陆成功
访问"https://app2.hoau.com:8423/cas2"
系统会将我们重定向到
"http://proxy.sso.hoau.com:85/cas/login"。
但是系统不会用"test01/psw01"自动登陆。
* 按照以上步骤,交换app1与app2的操作顺序,发现结果一样,app1与app2均可以自行通过nginx proxy到CAS Server上登陆,但是看似无法共享Ticket
*扩展
问题来了
为什么不通过代理直连的时候,SSO正常,但是通过代理就不正常了呢?怀疑点
Nginx proxy 没有SSL?CAS服务器上的Ticket失效了?
Client App(Tomcat)--> Proxy(Nginx) --> CAS Server(Tomcat)这条线上什么东西丢了?
请参考另一篇文章
CAS (5) —— Nginx代理模式下浏览器访问CAS服务器配置详解结束
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- tomcat配置文件server.xml详解
- tomcat 6线程数达到默认值(200)处理方法
- 详解Tomcat服务器绑定多域名和虚拟目录的方法
- Please verify the preference field with the prompt:Tomcat7.0 JDK name
- Tomcat 7源码学习笔记 -5 web app自动reload
- Windows系统下安装Tomcat服务器和配置虚拟目录的方法
- CAS (2) —— Mac下配置CAS到Tomcat(客户端)
- IntelliJ IDEA 15 与 Tomcat 配置
- CAS (1) —— Mac下配置CAS到Tomcat(服务端)
- Linux下Nginx+Tomcat负载均衡和动静分离配置要点
- tomcat启动时间修改
- Linux下Nginx+Tomcat负载均衡和动静分离配置要点
- Linux下Tomcat重新启动
- tomcat 日志配置
- tomcat启动提示server.xml的context节点中不支持source属性警告的解决方法
- Tomcat 性能优化
- Java问题:Quartz,Hibernate,Spring,Tomcat中定时任务无故停止,没有错误
- 类加载器内存泄露与tomcat自定义加载器
- netty与tomcat区别
- tomcat 线程数相关问题