Shiro 1.2開始提供了Jasig CAS單點登錄的支持，單點登錄主要用於多系統集成，即在多個系統中，用戶只需要到一個中央服務器登錄一次即可訪問這些系統中的任何一個，無須多次登錄。此處我們使用Jasig CAS v4.0.0-RC3版本：

https://github.com/Jasig/cas/tree/v4.0.0-RC3

Jasig CAS單點登錄系統分為服務器端和客戶端，服務器端提供單點登錄，多個客戶端（子系統）將跳轉到該服務器進行登錄驗證，大體流程如下：

1、訪問客戶端需要登錄的頁面http://localhost:9080/ client/，此時會跳到單點登錄服務器https://localhost:8443/ server/login?service=https://localhost:9443/ client/cas；

2、如果此時單點登錄服務器也沒有登錄的話，會顯示登錄表單頁面，輸入用戶名/密碼進行登錄；

3、登錄成功後服務器端會回調客戶端傳入的地址：https://localhost:9443/client/cas?ticket=ST-1-eh2cIo92F9syvoMs5DOg-cas01.example.org，且帶著一個ticket；

4、客戶端會把ticket提交給服務器來驗證ticket是否有效；如果有效服務器端將返回用戶身份；

5、客戶端可以再根據這個用戶身份獲取如當前系統用戶/角色/權限信息。

本章使用了和《第十四章 SSL》一樣的數字證書。

服務器端

我們使用了Jasig CAS服務器v4.0.0-RC3版本，可以到其官方的github下載：https://github.com/Jasig/cas/tree/v4.0.0-RC3下載，然後將其cas-server-webapp模塊封裝到shiro-example-chapter15-server模塊中，具體請參考源碼。

1、數字證書使用和《第十四章 SSL》一樣的數字證書，即將localhost.keystore拷貝到shiro-example-chapter15-server模塊根目錄下；

2、在pom.xml中添加Jetty Maven插件，並添加SSL支持：

1. <plugin>
2. <groupId>org.mortbay.jetty</groupId>
3. <artifactId>jetty-maven-plugin</artifactId>
4. <version>8.1.8.v20121106</version>
5. <configuration>
6. <webAppConfig>
7. <contextPath>/${project.build.finalName}</contextPath>
8. </webAppConfig>
9. <connectors>
10. <connector implementation="org.eclipse.jetty.server.nio.SelectChannelConnector">
11. <port>8080</port>
12. </connector>
13. <connector implementation="org.eclipse.jetty.server.ssl.SslSocketConnector">
14. <port>8443</port>
15. <keystore>${project.basedir}/localhost.keystore</keystore>
16. <password>123456</password>
17. <keyPassword>123456</keyPassword>
18. </connector>
19. </connectors>
20. </configuration>
21. </plugin>

3、修改src/main/webapp/WEB-INF/deployerConfigContext.xml，找到primaryAuthenticationHandler，然後添加一個賬戶：

1. <entry key="zhang" value="123"/>

其也支持如JDBC查詢，可以自己定制；具體請參考文檔。

4、mvn jetty:run啟動服務器測試即可：

訪問https://localhost:8443/chapter15-server/login將彈出如下登錄頁面：

輸入用戶名/密碼，如zhang/123，將顯示登錄成功頁面：

到此服務器端的簡單配置就完成了。

客戶端

1、首先使用localhost.keystore導出數字證書（公鑰）到D:\localhost.cer

1. keytool -export -alias localhost -file D:\localhost.cer -keystore D:\localhost.keystore

2、因為CAS client需要使用該證書進行驗證，需要將證書導入到JDK中：

1. cd D:\jdk1.7.0_21\jre\lib\security
2. keytool -import -alias localhost -file D:\localhost.cer -noprompt -trustcacerts -storetype jks -keystore cacerts -storepass 123456

如果導入失敗，可以先把security 目錄下的cacerts刪掉；

3、按照服務器端的Jetty Maven插件的配置方式配置Jetty插件；

4、在shiro-example-chapter15-client模塊中導入shiro-cas依賴，具體請參考其pom.xml；

5、自定義CasRealm：

1. public class MyCasRealm extends CasRealm {
2. private UserService userService;
3. public void setUserService(UserService userService) {
4. this.userService = userService;
5. }
6. @Override
7. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
8. String username = (String)principals.getPrimaryPrincipal();
9. SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
10. authorizationInfo.setRoles(userService.findRoles(username));
11. authorizationInfo.setStringPermissions(userService.findPermissions(username));
12. return authorizationInfo;
13. }
14. }

CasRealm根據CAS服務器端返回的用戶身份獲取相應的角色/權限信息。

6、spring-shiro-web.xml配置：

1. <bean id="casRealm" class="com.github.zhangkaitao.shiro.chapter13.realm.MyCasRealm">
2. <property name="userService" ref="userService"/>
3. ……
4. <property name="casServerUrlPrefix" value="https://localhost:8443/chapter14-server"/>
5. <property name="casService" value="https://localhost:9443/chapter14-client/cas"/>
6. </bean>

casServerUrlPrefix：是CAS Server服務器端地址；

casService：是當前應用CAS服務URL，即用於接收並處理登錄成功後的Ticket的；

如果角色/權限信息是由服務器端提供的話，我們可以直接使用CasRealm：

1. <bean id="casRealm" class="org.apache.shiro.cas.CasRealm">
2. ……
3. <property name="defaultRoles" value="admin,user"/>
4. <property name="defaultPermissions" value="user:create,user:update"/>
5. <property name="roleAttributeNames" value="roles"/>
6. <property name="permissionAttributeNames" value="permissions"/>
7. <property name="casServerUrlPrefix" value="https://localhost:8443/chapter14-server"/>
8. <property name="casService" value="https://localhost:9443/chapter14-client/cas"/>
9. </bean>

defaultRoles/ defaultPermissions：默認添加給所有CAS登錄成功用戶的角色和權限信息；

roleAttributeNames/ permissionAttributeNames：角色屬性/權限屬性名稱，如果用戶的角色/權限信息是從服務器端返回的（即返回的CAS Principal中除了Principal之外還有如一些Attributes），此時可以使用roleAttributeNames/ permissionAttributeNames得到Attributes中的角色/權限數據；請自行查詢CAS獲取用戶更多信息。

1. <bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
2. <property name="failureUrl" value="/casFailure.jsp"/>
3. </bean>

CasFilter類似於FormAuthenticationFilter，只不過其驗證服務器端返回的CAS Service Ticket。

1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
2. <property name="securityManager" ref="securityManager"/>
3. <property name="loginUrl" value="https://localhost:8443/chapter14-server/login?service=https://localhost:9443/chapter14-client/cas"/>
4. <property name="successUrl" value="/"/>
5. <property name="filters">
6. <util:map>
7. <entry key="cas" value-ref="casFilter"/>
8. </util:map>
9. </property>
10. <property name="filterChainDefinitions">
11. <value>
12. /casFailure.jsp = anon
13. /cas = cas
14. /logout = logout
15. /** = user
16. </value>
17. </property>
18. </bean>

loginUrl：https://localhost:8443/chapter15-server/login表示服務端端登錄地址，登錄成功後跳轉到?service參數對於的地址進行客戶端驗證及登錄；

“/cas=cas”：即/cas地址是服務器端回調地址，使用CasFilter獲取Ticket進行登錄。

7、測試，輸入http://localhost:9080/chapter15-client地址進行測試即可，可以使用如Chrome開這debug觀察網絡請求的變化。

如果遇到以下異常，一般是證書導入錯誤造成的，請嘗試重新導入，如果還是不行，有可能是運行應用的JDK和安裝數字證書的JDK不是同一個造成的：

Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:385)

at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)

at sun.security.validator.Validator.validate(Validator.java:260)

at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)

at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)

at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)

at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1323)

... 67 more

Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)

at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)

at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)

... 73 more

示例源代碼：https://github.com/zhangkaitao/shiro-example；

shiro中單點登錄