PHP使用phpCAS对接CAS单点登陆系统
综述
本文档用来说明如何使用PHP对接CAS单点登陆系统。
想要对接使用CAS单点登陆,我们首先需要了解什么是单点登陆。本博文主要对下面几项进行说明:
- 了解CAS单点登录原理解析
- 搭建
CAS SSOSERVER服务端; - 下载
phpCAS客户端 - phpCAS客户端配置
- 进行PHP开发对接
CAS单点登陆原理
关于CAS单点登陆原理,本人查到一篇讲解的比较详细的文章:https://www.cnblogs.com/lihuidu/p/6495247.html 此文章讲解的非常通俗易懂。
搭建CAS SSOSERVER服务端
关于此类教程文章推荐查看:https://www.cnblogs.com/jpeanut/tag/CAS/
下载phpCAS客户端
- phpCAS客户端下载:https://github.com/apereo/phpCAS
- phpCAS客户端配置的注意事项说明:https://apereo.atlassian.net/wiki/spaces/CASC/pages/103252517/phpCAS
- phpCAS客户端的要求说明:https://apereo.atlassian.net/wiki/spaces/CASC/pages/103252625/phpCAS+requirements
注意:PHP配置文件php.ini需要开启php_curl,找到 ;extension=php_curl.dll ,将该句前面的分号去掉即可,改为 extension=php_curl.dll
phpCAS客户端配置
下载完成之后可得到一个压缩包文件,解压之后文件夹存在source,source文件夹下包含CAS文件夹和CAS.php文件。
创建自己的PHP项目,至于用什么框架,和开发工具,这儿就不说了,各有各的需求。将同步下来的代码的source目录拷贝到项目中,可以改名phpCAS之类的,以作区分。
项目中怎么使用呢?之后我们开始讲解如何开发配置:
- 将
source文件夹放到开发项目的根目录下; - 在项目根目录下新建
config.php文件,用于CAS配置; - 在项目根目录下新建
index.php文件,由于首页访问;
config.php文件代码如下:
<?php
/** * ============================================== * Created by SaiJia Technology. * Author: ZhiHuaWei <zhihua_wei@foxmail.com> * Date: 2019/9/3 11:04 * Project: PHP对接CAS单点登陆系统 * Power: CAS配置文件 * ============================================== */
# 1 CAS Server 主机域名
# 此配置是你搭建的CAS SSO SERVER服务的域名
$cas_host = 'www.qingshanfrom.xyz';
# 2 CAS Server 路径
# 此配置是你搭建的CAS SSO SERVER服务的路径
$cas_context = '/cas';
// 3 CAS server 端口
# 此配置是你搭建的CAS SSO SERVER服务的端口
$cas_port = 8443;
// 4 CAS server 证书
# 此配置是你搭建的CAS SSO SERVER服务的证书文件
$cas_server_ca_cert_path = './ssoserver.cer';
PHP开发对接
index.php文件代码如下:
<?php
/** * ============================================== * Created by SaiJia Technology. * Author: ZhiHuaWei <zhihua_wei@foxmail.com> * Date: 2019/9/3 11:04 * Project: PHP对接CAS单点登陆系统 * Power: 主文件 * ============================================== */
# 1 引入配置文件 | CAS.PHP文件
require_once 'config.php';
require_once 'phpCas/CAS.php';
# 2 开启phpCAS debug
phpCAS::setDebug();
# 3 初始化phpCAS,参数说明:
# a) CAS协议版本号
# b) cas server的域名
# c) cas server的端口号
# d) cas server的项目访问路径
phpCAS::client(CAS_VERSION_2_0, $cas_host, $cas_port, $cas_context);
# 4 开启设置证书验证。如果是开发环境可将此注释,如果是生产环境为了安全性建议将此开启
// phpCAS::setCasServerCACert($cas_server_ca_cert_path);
# 5 不为CAS服务器设置SSL验证
# 为了快速测试,您可以禁用CAS服务器的SSL验证。此建议不建议用于生产环境。验证CAS服务器对CAS协议的安全性至关重要!
phpCAS::setNoCasServerValidation();
# 6 这里会检测服务器端的退出的通知,就能实现php和其他语言平台间同步登出了
# 处理登出请求。cas服务端会发送请求通知客户端。如果没有同步登出,可能是服务端跟客户端无法通信(比如我的客户端是localhost, 服务端在云上)
phpCAS::handleLogoutRequests();
# 7 进行CAS服务验证,这个方法确保用户是否验证过,如果没有验证则跳转到验证界面
# 这个是强制认证模式,查看 CAS.php 可以找到几种不同的方式:
# a) forceAuthentication - phpCAS::forceAuthentication();
# b) checkAuthentication - phpCAS::checkAuthentication();
# c) renewAuthentication - phpCAS::renewAuthentication();
# 根据自己需要调用即可。
$auth = phpCAS::forceAuthentication();
if ($auth) {
# 8 验证通过,或者说已经登陆系统,可进行已经登陆之后的逻辑处理...
# 获得登陆CAS用户的名称
$user_name = phpCAS::getUser();
echo $user_name . '已经成功登陆...<br>';
# 9 你还可打印保存的phpCAS session信息
print_r($_SESSION);
# 10 还可获取有关已验证用户的属性,例如:$uid = phpCAS::getAttribute('id');
# 关于此部分用户属性数据设置说明:https://my.oschina.net/liucao/blog/479755
$attr = phpCAS::getAttributes();
print_r($attr);
# 11 进行退出的相关操作
# 在你的PHP项目中处理完相应的退出逻辑之后,还需执行phpCAS::logout()进行CAS系统的退出
# 当我们访问cas服务端的logout的时候,cas服务器会发送post请求到各个已经登录的客户端
//phpCAS::logout();
# 登出方法一:登出成功后跳转的地址
//phpCAS::setServerLoginUrl("https://192.168.1.120:80/cas/logout?embed=true&service=http://localhost/phpCasClient/user.php?a=login");
//phpCAS::logout();
# 登出方法二:退出登录后返回地址
//$param = array("service" => "http://cas.wzh.com");
//phpCAS::logout($param);
} else {
# 12 验证未通过,说明未进行登陆
# 将会跳转回你配置的CAS SSO SERVER服务的域名;
# 例如:https://www.qingshanfrom.xyz:8443/cas/login?service=http%3A%2F%2Fcas.wzh.com%2F
# 在你输入正确的用户名和密码之后CAS会自动跳转回service=http%3A%2F%2Fcas.wzh.com%2F此地址
# 在此你可以处理验证未通过的各种逻辑
echo '还未登陆,跳转到CAS进行登陆...<br>';
}
注意
- 如果无法获取Attributes,请将
CAS_VERSION_2_0改成CAS_VERSION_3_0,相关设置说明:https://my.oschina.net/liucao/blog/479755; - 设置
phpCAS::handleLogoutRequests();后不能同步退出,可能是因为cas服务端无法连接测试环境的域名。当我们访问cas服务端的logout的时候,cas服务器会发送post请求到各个已经登录的客户端; phpCAS::logout(['service'=>'http://cas.wzh.com']);设置退出登录后返回的页面。
