acegi整合CAS (sso)

原創 lynlyn106 2020-06-11 08:12

acegi內置了對CAS的支持。這裏的CAS是3.0。建立CAS server是一個比較簡單的事情。CAS server就是一個標準的war文件,把它發佈就可以運行。需要做的僅僅是調整登陸和其他一些頁面。先了解一下CAS如何實現SSO。
例子:原有系統A和系統B,現在在它們之間做SSO。
很顯然,系統A和B都是CAS client。首先是訪問系統A,幹掉A的登陸頁面,在A的入口判斷有沒有Ticket(票據),如果沒有則重定向到CAS server,在CAS server提供Credential(大多數情況就是用戶名和密碼)。CAS server的作用非常簡單:就是來驗證用戶密碼。正確,則發送Ticket。CAS有5種Ticket,分別是TGC(通過cookie發送的ticket),ST(Service Ticket),PGT,PGTIOU,PT。其中PGT,PGTIOU,PT屬於代理ticket,這裏不作討論。具體可以參考
http://www.blogjava.net/openssl/archive/2006/04/26/SSO_CASProxy.html
TGC和ST的關係可以打個比方:
我去中央電視塔去玩,結果發現地下還有個海底世界。SSO前我是這麼玩的:先去電視塔買張門票,玩完了;再去海底世界買張門票,玩完了。發現真累,兩個景點這麼近還要買兩次門票,就不能搞個通票嗎?於是就SSO。於是這樣:我先去電視塔,門衛告訴我你不能進去要買票,於是把我送到通票售票處(CAS server)買票(登錄),買吧,於是給了我兩張票,注意,是兩張,一張發到我手裏,上面寫着僅限電視塔使用(ST);靠,不是通票嗎,咋僅限電視塔使用?別急,還有一張票(TGC)通過cookie發送你看不見。人家說了保證沒問題,我咋辦,這是人家的規矩,那就先去玩吧。出了電視塔我直撲海底世界,
門衛說要海底世界票,不會吧,我買的通票啊,門衛說不着急,又把我送回通票售票處(CAS server),通票售票處(CAS server)一看,發現我有TGC,嘿嘿,這傢伙買過票了不用再買(不用再登錄),於是換我一張票(ST)上面寫着僅限海底世界使用,於是我就拿着這張票又去海底世界了。於是我明白了啥是SSO了,不就是把買票改成換票了嗎?
比方完了,最開始的例子也就不往下繼續了。需要注意的是系統A和B整合SSO需要把A、B的用戶密碼集中管理,你說A中我的用戶名是張三,B中是李四,SSO能不能幫我自動識別,回答是不行的。
繼續Acegi的整合。
CAS server是做用戶密碼驗證,具體的權限授權的工作還是在各個單個系統裏,也不應該交給它管。做用戶密碼驗證需要AuthenticationHandler。這個具體就是根據Credential返回一個boolean值來判斷你輸入的用戶密碼正不正確。acegi提供了一個實現。
以一個典型的web訪問來說明整個過程
1、用戶訪問一個受acegi安全保護的頁面或業務方法;
2、用戶沒有登陸的話顯然會拋出AuthenticationException
3、配置exceptionTranslationFilter捕獲這個異常重定向到CAS server登陸頁面
       <bean id="exceptionTranslationFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">
            <property name="authenticationEntryPoint"><ref local="casProcessingFilterEntryPoint"/></property>
        </bean>
       
        <bean id="casProcessingFilterEntryPoint" class="org.acegisecurity.ui.cas.CasProcessingFilterEntryPoint">
            <property name="loginUrl"><value>https://my.company.com/cas/login</value></property>
            <property name="serviceProperties"><ref local="serviceProperties"/></property>
        </bean>
       
        <bean id="serviceProperties" class="org.acegisecurity.ui.cas.ServiceProperties">
            <property name="service"><value>https://server.company.com/myapp/j_acegi_cas_security_check</value></property>
            <property name="sendRenew"><value>false</value></property>
        </bean>serviceProperties裏的service屬性即在CAS server登陸完畢後由CAS server重定向回來的頁面
  https://my.company.com/cas/login?service=https%3A%2F%2Fserver.company.com%2Fmyapp%2Fj_acegi_cas_security_check
4、CAS server檢查是否有TGC ,沒有則登陸,登陸後返回。這裏屁股後面跟着的即ST,TGC通過cookie一併發送到客戶端。
   https://server.company.com/myapp/j_acegi_cas_security_check?ticket=ST-0-jhsdfguwgeds
5、配置casProcessingFilter來處理返回ST(和以前的authenticationProcessingFilter比較類似)
   <bean id="casProcessingFilter" class="org.acegisecurity.ui.cas.CasProcessingFilter">
        <property name="authenticationManager"><ref local="authenticationManager"/></property>
        <property name="authenticationFailureUrl"><value>/casfailed.jsp</value></property>
        <property name="defaultTargetUrl"><value>/</value></property>
        <property name="filterProcessesUrl"><value>/j_acegi_cas_security_check</value></property>
    </bean>6、配置authenticationManager
   <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
      <property name="providers">
         <list>
            <ref local="casAuthenticationProvider"/>
         </list>
      </property>
   </bean>
  
  <bean id="casAuthenticationProvider" class="org.acegisecurity.providers.cas.CasAuthenticationProvider">
        <property name="casAuthoritiesPopulator"><ref local="casAuthoritiesPopulator"/></property>
        <property name="casProxyDecider"><ref local="casProxyDecider"/></property>
        <property name="ticketValidator"><ref local="casProxyTicketValidator"/></property>
        <property name="statelessTicketCache"><ref local="statelessTicketCache"/></property>
        <property name="key"><value>my_password_for_this_auth_provider_only</value></property>
    </bean> 具體作用的是casAuthenticationProvider,casAuthenticationProvider通過 casProxyTicketValidator來校驗ST
    <bean id="casProxyTicketValidator" class="org.acegisecurity.providers.cas.ticketvalidator.CasProxyTicketValidator">
        <property name="casValidate"><value>https://my.company.com/cas/proxyValidate</value></property>
        <property name="serviceProperties"><ref local="serviceProperties"/></property>
    </bean> casProxyTicketValidator又具體實現調用了CAS Client library裏的ProxyTicketValidator校驗ST,ProxyTicketValidator 就比較有意思了,它做了個HTTPS請求CAS server,結果還是CAS server來校驗ST(繞了一大圈)
 https://my.company.com/cas/proxyValidate?service=https%3A%2F%2Fserver.company.com%2Fmyapp%2Fj_acegi_cas_security_check
 重新回到CAS server,它接受到這個HTTPS請求,檢查ST是否與對這個service發行的ST吻合,吻合的話CAS server就會發回一個肯定的XML回覆,裏面包含了用戶名(username)。剩下的就EASY了,casProxyTicketValidator解析XML,casProxyDecider處理代理,casAuthoritiesPopulator根據解析後的XML獲得user,最後就是casAuthenticationProvider構造Authentication(這裏是CasAuthenticationToken)
7、重新回到casProcessingFilter,它將Authentication放入HttpSession
這樣就完成了整個過程

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

WebSocket替換Http協議的邏輯實現

 · 前言     · 在國內,公網服務器與本地服務器的通信一直是個難題,本地服務器因爲IP是動態變化的,公網服務器沒辦法將請求發送給本地服務器。爲了解決這個問題,所以採用WebSocket協議替換Http協議。爲了實現請求等待,使用Gu

原創 2024-06-03 11:25:33

Redis7.2啓動程序源碼解析

[toc] 簡介 Redis 是一個單線程的數據服務,高性能,速度快,使用C語言實現,它的內部使用了一個 eventLoop 事件循環器來實現客戶端與服務端的通信。下面我們就來分析下Redis7.2的啓動程序源碼。 1、server.c m

原創 2024-06-05 22:52:48

高效啓動DolphinScheduler工作流:Java URL調用詳解

轉載自牛肉胡辣湯 在大數據分析和處理的領域中,DolphinScheduler是一個開源的分佈式工作流調度系統,可以用於調度和管理複雜的工作流任務。本文將介紹如何使用Java中的URL類來調用DolphinScheduler的API,實現啓

原創 2024-06-04 21:21:59

滿幫集團 Eureka 和 ZooKeeper 的上雲實踐

作者:胡安祥 滿幫集團,作爲“互聯網+物流”的平臺型企業,一端承接託運人運貨需求,另一端對接貨車司機,提升貨運物流效率。2021 年美股上市,成爲數字貨運平臺上市第一股。根據公司年報,2021 年,超過 350 萬貨車司機在平臺上完成超 1

原創 2024-05-27 21:13:47

Apache DolphinScheduler(2.x和3.x版本) 本地環境搭建教程一覽

在迅速變化的技術領域,本地環境的搭建和調試對於軟件開發的效率和效果至關重要。本文將詳細介紹如何爲Apache DolphinScheduler搭建一個高效的本地開發環境,包括2.x和3.x版本的設置方法。 無論您是初學者還是有經驗的開發者

原創 2024-05-27 12:38:21

分佈式任務調度內的 MySQL 分頁查詢優化

作者:vivo 互聯網數據庫團隊- Qiu Xinbo 本文主要通過圖示介紹了用主鍵進行分片查詢的過程,介紹了主鍵分頁查詢存在SQL性能問題,如何去創建高效的索引去優化主鍵分頁查詢的SQL性能問題 對於數據分佈不均

原創 2024-05-24 12:09:18

Java開發必讀,談談對Spring IOC與AOP的理解

本文分享自華爲雲社區《超詳細的Java後臺開發面試題之Spring IOC與AOP》,作者:GaussDB 數據庫。 一、前言 IOC和AOP是Spring中的兩個核心的概念,下面談談對這兩個概念的理解。 二、IOC(Inverse o

原創 2024-06-07 22:57:21

一文搞懂 Spring 循環依賴

這個其實是一個特別高頻的面試題,松哥也一直很想和大家仔細來聊一聊這個話題,網上關於這塊的文章很多,但是我一直覺得要把這個問題講清楚還有點難度,今天我來試一試,看能不能和小夥伴們把這個問題梳理清楚,當然,如果小夥伴們覺得看文章不過癮,松哥也有

原創 2024-06-06 13:11:47

什麼時候需要用到 @EnableWebSecurity 註解?

有小夥伴在學習 Spring Security 的遇到一個問題: 箭頭所指的位置報紅,也就是 Spring 容器中沒有找到一個類型爲 HttpSecurity 的 Bean。 小夥伴說如果他在配置類上加 @EnableWebSecurit

原創 2024-06-05 13:11:40

Spring Security 註冊過濾器注意事項

前兩天和小夥伴聊了 Spring Security+JWT 實現無狀態登錄,然後有小夥伴反饋了一個問題,感覺這是一個我們平時寫代碼容易忽略的問題,寫一篇文章和小夥伴們聊一聊。 一 問題復原 先來說問題吧,在 Spring Security+

原創 2024-06-04 03:48:39

Spring 中如何控制 Bean 的加載順序?

如果你脫口而出說添加 @Order 註解或者是實現 Ordered 接口,那麼恭喜,你掉坑了。 一 @Order 註解和 Ordered 接口 在 Spring 框架中,@Order 是一個非常實用的元註解,它位於 spring-core

原創 2024-06-03 01:17:22

HttpSecurity 是如何組裝過濾器鏈的

有小夥伴們問到這個問題*簡單寫篇文章和大夥聊一下。 一 SecurityFilterChain 首先大夥都知道Spring Security 裏邊的一堆功能都是通過 Filter 來實現的無論是認證、RememberMe Login、會話管

原創 2024-05-31 13:28:38

spring源碼閱讀之bean加載過程(一)

如果想要閱讀源碼,首先要選擇版本,然後將源代碼下載到本地,導入idea中,話不多說,直接看步驟吧 這裏我選擇5版本, 下載源碼 默認是main分支,看想學習的分支,比如我切換到5版本,截圖如下:     2.安裝gradle 3

原創 2024-05-27 23:55:57

聊聊Spring中的數據綁定 --- WebDataBinder、ServletRequestDataBinder、WebBindingInitializer 文章源於Ai生成

每篇一句 大魔王張怡寧:女兒,這堆金牌你拿去玩吧,但我的銀牌不能給你玩。你要想玩銀牌就去找你王浩叔叔吧,他那銀牌多 前言 爲了講述好Spring MVC最爲複雜的數據綁定這塊,我前面可謂是做足了功課,對此部分知識此處給小夥伴留一個學

微學網絡 2024-05-27 10:53:57

@ResponseBody是怎麼起作用的

前言   最近參與的項目中,接口中返回的日期格式不對,發現項目中配置了fastjson作爲spring的數據轉換器,於是使用了fastjson的字段格式化轉換註解 發現不起作用。這讓我很疑惑,然後在fastjson的相關代碼中打斷點發現請

微學網絡 2024-05-27 10:53:54