MaxKey 单点登录认证系统——登录验证流程分析

最新推荐文章于 2024-06-03 07:45:00 发布
最新推荐文章于 2024-06-03 07:45:00 发布
阅读量1.5k 收藏 23
点赞数 18
分类专栏: MaxKey 单点登录认证系统 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_78055266/article/details/136022607
版权
文章详细描述了客户端如何使用CAS-client依赖包进行身份验证,涉及TicketValidationFilter的票证验证、AuthenticationFilter的过滤逻辑,以及服务端的SingleSignOnInterceptor拦截器对JWT的处理和权限检查。着重展示了登录、重定向和会话管理的过程。
摘要由CSDN通过智能技术生成

客户端依赖包

<dependency>
     <groupId>net.unicon.cas</groupId>
     <artifactId>cas-client-autoconfig-support</artifactId>
     <version>2.3.0-GA</version>
</dependency>

未登录时

  1. 浏览器向客户端发送请求 http://localhost:8989/test1/index

  2. 客户端: AbstractTicketValidationFilter 过滤器拦截

    public final void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        if (this.preFilter(servletRequest, servletResponse, filterChain)) {
            HttpServletRequest request = (HttpServletRequest)servletRequest;
            HttpServletResponse response = (HttpServletResponse)servletResponse;
            String ticket = this.retrieveTicketFromRequest(request);
			//校验请求中是否有ticket
            if (CommonUtils.isNotBlank(ticket)) {
                this.logger.debug("Attempting to validate ticket: {}", ticket);

                try {
					//校验ticket是否正确
                    Assertion assertion = this.ticketValidator.validate(ticket, this.constructServiceUrl(request, response));
                    this.logger.debug("Successfully authenticated user: {}", assertion.getPrincipal().getName());
					//校验成功设置 _const_cas_assertion_属性
                    request.setAttribute("_const_cas_assertion_", assertion);
                    if (this.useSession) {
                        request.getSession().setAttribute("_const_cas_assertion_", assertion);
                    }

                    this.onSuccessfulValidation(request, response, assertion);
                    if (this.redirectAfterValidation) {
						//重定向请求
                        this.logger.debug("Redirecting after successful ticket validation.");
                        response.sendRedirect(this.constructServiceUrl(request, response));
                        return;
                    }
                } catch (TicketValidationException var8) {
					//校验失败抛出异常
                    this.logger.debug(var8.getMessage(), var8);
                    this.onFailedValidation(request, response);
                    if (this.exceptionOnValidationFailure) {
                        throw new ServletException(var8);
                    }

                    response.sendError(403, var8.getMessage());
                    return;
                }
            }
			//没有ticket直接放行
            filterChain.doFilter(request, response);
        }
    }

  3. 客户端:重定向之后的请求是没有 ticket的,所以经过上述的过滤器会直接放行,放行后来到下一个过滤器 AuthenticationFilter

    public final void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        HttpServletResponse response = (HttpServletResponse)servletResponse;
		//判断请求需不需要拦截
        if (this.isRequestUrlExcluded(request)) {
            this.logger.debug("Request is ignored.");
            filterChain.doFilter(request, response);
        } else {
            HttpSession session = request.getSession(false);
            Assertion assertion = session != null ? (Assertion)session.getAttribute("_const_cas_assertion_") : null;
            //获取请求中的 _const_cas_assertion_值
			if (assertion != null) {
				//如果以上过滤器检验通过此时是有值得,直接放行请求
                filterChain.doFilter(request, response);
            } else {
                String serviceUrl = this.constructServiceUrl(request, response);
                String ticket = this.retrieveTicketFromRequest(request);
                boolean wasGatewayed = this.gateway && this.gatewayStorage.hasGatewayedAlready(request, serviceUrl);
				//无 _const_cas_assertion_值,再次判断有无 ticket
                if (!CommonUtils.isNotBlank(ticket) && !wasGatewayed) {
					//也没有ticket重定向到配置文件配置的服务器
                    this.logger.debug("no ticket and no assertion found");
                    String modifiedServiceUrl;
                    if (this.gateway) {
                        this.logger.debug("setting gateway attribute in session");
                        modifiedServiceUrl = this.gatewayStorage.storeGatewayInformation(request, serviceUrl);
                    } else {
                        modifiedServiceUrl = serviceUrl;
                    }

                    this.logger.debug("Constructed service url: {}", modifiedServiceUrl);
					 //获取重定向请求
                    String urlToRedirectTo = CommonUtils.constructRedirectUrl(this.casServerLoginUrl, this.getProtocol().getServiceParameterName(), modifiedServiceUrl, this.renew, this.gateway);
                    this.logger.debug("redirecting to \"{}\"", urlToRedirectTo);
					//重定向发送
                    this.authenticationRedirectStrategy.redirect(request, response, urlToRedirectTo);
                } else {
                    filterChain.doFilter(request, response);
                }
            }
        }
    }

  4. 服务器端:接收到重定向请求后被拦截器 SingleSignOnlnterceptor拦截

     @Override
    public boolean preHandle(HttpServletRequest request, 
            HttpServletResponse response, Object handler)
            throws Exception {
    	logger.trace("Single Sign On Interceptor");
     
    	AuthorizationUtils.authenticateWithCookie(request,authTokenService,sessionManager);
		//判断请求是否有current_authentication值
        if(AuthorizationUtils.isNotAuthenticated()) {
			//没有则重定向 `/sign/static/index.html/#/passport/login?redirect_uri=http://localhost:9527/sign/authz/cas/login?service=http%3A%2F%2Flocalhost%3A8989%2Ftest1%2Findex`
        	String loginUrl = applicationConfig.getFrontendUri() + "/index.html/#/passport/login?redirect_uri=%s";
        	String redirect_uri = UrlUtils.buildFullRequestUrl(request);
        	String base64RequestUrl = Base64Utils.base64UrlEncode(redirect_uri.getBytes());
        	logger.debug("No Authentication ... Redirect to /passport/login , redirect_uri {} , base64 {}",
        					redirect_uri ,base64RequestUrl);
        	response.sendRedirect(String.format(loginUrl,base64RequestUrl));
        	return false;
        }
      
        //...
    }

    注意:applicationConfig.getFrontendUri()获取的是配置文件的 maxkey.server.frontend.uri,记得配置好

    在这里插入图片描述

  5. 重定向登录界面后输入账号密码登录,登录成功成功后返回jwt信息

  6. 前端处理响应信息,设置token和ticket等信息

    auth(authJwt: any) {
    let user: User = {
      name: `${authJwt.displayName}(${authJwt.username})`,
      displayName: authJwt.displayName,
      username: authJwt.username,
      userId: authJwt.id,
      avatar: './assets/img/avatar.svg',
      email: authJwt.email,
      passwordSetType: authJwt.passwordSetType
    };
	//token
    this.cookieService.set(CONSTS.CONGRESS, authJwt.token, { path: '/' });
	//ticket
    this.cookieService.set(CONSTS.ONLINE_TICKET, authJwt.ticket, { domain: this.getSubHostName(), path: '/' });

    if (authJwt.remeberMe) {
      localStorage.setItem(CONSTS.REMEMBER, authJwt.remeberMe);
    }
    this.settingsService.setUser(user);
    this.tokenService.set(authJwt);
    this.tokenService.get()?.expired;
  }

  7. 如果地址后面有拼接 redirect_uri,则会重定向到拼接的地址,如上述的 http://localhost:9527/sign/authz/cas/login?service=http%3A%2F%2Flocalhost%3A8989%2Ftest1%2Findex

    navigate(authJwt: any) {
    // 重新获取 StartupService 内容,我们始终认为应用信息一般都会受当前用户授权范围而影响
    this.startupService.load().subscribe(() => {
      let url = this.tokenService.referrer!.url || '/';
      if (url.includes('/passport')) {
        url = '/';
      }

      if (localStorage.getItem(CONSTS.REDIRECT_URI) != null) {
        this.redirect_uri = `${localStorage.getItem(CONSTS.REDIRECT_URI)}`;
        localStorage.removeItem(CONSTS.REDIRECT_URI);
      }
      if (this.redirect_uri != '') {
        console.log(`redirect_uri ${this.redirect_uri}`);
		//重定向
        location.href = this.redirect_uri;
      }
      this.router.navigateByUrl(url);
    });
  }

  8. 服务端:服务器接受重定向后的地址请求,并由 SingleSignOnInterceptor再次拦截,相比未登录的,此时的请求携带了一些登录后设置的jwt信息,就可以设置 current_authentication

    @Override
    public boolean preHandle(HttpServletRequest request, 
            HttpServletResponse response, Object handler)
            throws Exception {
    	logger.trace("Single Sign On Interceptor");
       //根据请求携带的信息设置 current_authentication
    	AuthorizationUtils.authenticateWithCookie(request,authTokenService,sessionManager);

        if(AuthorizationUtils.isNotAuthenticated()) {
        	//...
        }

		//判断请求是否有 current_authentication值
        if(AuthorizationUtils.isAuthenticated()){
	        logger.debug("preHandle {}",request.getRequestURI());
	        Apps app = (Apps)WebContext.getAttribute(WebConstants.AUTHORIZE_SIGN_ON_APP);
	        if(app == null) {
	      
	        	String requestURI = request.getRequestURI();
	        	if(requestURI.contains("/authz/cas/login")) {//for CAS service
					//获取`service`后面的值,即 http://localhost:8989/test1/index,并根据此service查询配置的应用信息
	        		app = casDetailsService.getAppDetails(
	        				request.getParameter(CasConstants.PARAMETER.SERVICE), true);
	        	}
				//...
	        }
	      
	        if(app == null) {
	        	logger.debug("preHandle app is not exist . ");
	        	return true;
	        }
	      
	        SignPrincipal principal = AuthorizationUtils.getPrincipal();
	        if(principal != null && app !=null) {
	            //判断是否有权限访问应用,有则放行
				if(principal.getGrantedAuthorityApps().contains(new SimpleGrantedAuthority(app.getId()))) {
	                logger.trace("preHandle have authority access {}" , app);
	                return true;
	            }
	        }
	        logger.debug("preHandle not have authority access {}" , app);
	        response.sendRedirect(request.getContextPath()+"/authz/refused");
	        return false;
    	}
        return true;
    }

  9. 放行之后,再经过一系列操作跳转 http://localhost:8989/test1/index界面

成功登录后

  1. 成功登录后再次请求 http://localhost:8989/test1/index地址

  2. 此时请求中含有ticket,而客户端校验ticket没问题后会设置 _const_cas_assertion_属性

    public final void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        if (this.preFilter(servletRequest, servletResponse, filterChain)) {
            HttpServletRequest request = (HttpServletRequest)servletRequest;
            HttpServletResponse response = (HttpServletResponse)servletResponse;
            String ticket = this.retrieveTicketFromRequest(request);
            if (CommonUtils.isNotBlank(ticket)) {
                this.logger.debug("Attempting to validate ticket: {}", ticket);

                try {
                    Assertion assertion = this.ticketValidator.validate(ticket, this.constructServiceUrl(request, response));
                    this.logger.debug("Successfully authenticated user: {}", assertion.getPrincipal().getName());
					//在服务器 session中设置 _const_cas_assertion_属性
                    request.setAttribute("_const_cas_assertion_", assertion);
                    if (this.useSession) {
                        request.getSession().setAttribute("_const_cas_assertion_", assertion);
                    }

                    this.onSuccessfulValidation(request, response, assertion);
                    if (this.redirectAfterValidation) {
                        this.logger.debug("Redirecting after successful ticket validation.");
                        response.sendRedirect(this.constructServiceUrl(request, response));
                        return;
                    }
                } catch (TicketValidationException var8) {
                    this.logger.debug(var8.getMessage(), var8);
                    this.onFailedValidation(request, response);
                    if (this.exceptionOnValidationFailure) {
                        throw new ServletException(var8);
                    }

                    response.sendError(403, var8.getMessage());
                    return;
                }
            }

            filterChain.doFilter(request, response);
        }
    }

  3. 后续请求直接判断请求中是否有 const_cas_assertion 属性,有就说明登录过了,请求放行

    public final void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        HttpServletResponse response = (HttpServletResponse)servletResponse;
        if (this.isRequestUrlExcluded(request)) {
            this.logger.debug("Request is ignored.");
            filterChain.doFilter(request, response);
        } else {
            HttpSession session = request.getSession(false);
            Assertion assertion = session != null ? (Assertion)session.getAttribute("_const_cas_assertion_") : null;
            if (assertion != null) {
				//不为空请求放行
                filterChain.doFilter(request, response);
            } 
			//...
        }
    }

  4. 此时登录别的应用地址,由于服务器session中已经设置 _const_cas_assertion_属性值,所以也可以直接校验通过

努力的Ethan
关注
  • 18
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
聊聊登录(SSO)中的CAS认证
虚幻私塾
09-16 1177
随着企业的发展,一个大型系统里可能包含 n 多子系统, 用户在操作不同的系统时,需要多次登录,很麻烦,我们需要一种全新的登录方式来实现多系统应用群的登录,这就是登录。web 系统系统发展成多系统组成的应用群,复杂性应该由系统内部承担,而不是用户。无论 web 系统内部多么复杂,对用户而言,都是一个统一的整体,也就是说,用户访问 web 系统的整个应用群与访问系统一样,登录/注销 只要1次就够了即登录,一种对于许多相互关联,但是又是各自独立的软件系统,提供访问控制的方法。
babel-plugin-mickey-model-validator:Valid验证mickey运送的模型,以避免某些语法陷阱
05-15
验证mickey附带的模型,以避免某些语法上的陷阱。 快照 安装 npm install babel-plugin-mickey-model-validator --save-dev 用法 在.babelrc添加以下部分: { "plugins": ["mickey-model-validator"] } 贡献 ...
探索MaxKey:一个强大且灵活的身份认证框架
gitblog_00089的博客
04-10 593
探索MaxKey:一个强大且灵活的身份认证框架 项目地址:https://gitcode.com/dromara/MaxKey MaxKey 是一款开源的身份认证(Identity and Access Management, IAM)框架,由Dromara团队精心打造,旨在为企业级应用提供安全、高效和可扩展的登录(Single Sign-On, SSO)解决方案。本文将深入解析MaxKey的...
MaxKey本地运行实战指南
最新发布
爱媳妇儿爱编程
06-03 1315
MaxKey登录认证系统,谐音为马克思的钥匙寓意是最大钥匙,是业界领先的IAM-IDaas身份管理和认证产品;支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议;提供安全、标准和开放的用户身份管理(IDM)、身份认证(AM)、登录(SSO)、资源管理和权限管理等。
MaxKey 登录认证系统——前端后端合并步骤
2301_78055266的博客
02-04 1206
开发指南 | MaxKey登录认证系统 该项目前端是Angular项目,后端是springboot项目 以maxkey-web-app前后端合并为例 构建MaxKey统一认证前端 maxkey-web-frontend/maxkey-web-app ng build --prod --base-href /sign/static/ 以上sign由以下得来: 根据angular.json生成dist文件 复制 dist下所有文件到 springboot目录的 resour
MaxKey 登录认证系统——开发环境部署
2301_78055266的博客
01-09 1120
MaxKey 登录认证系统的开发环境部署
这是我见过最强的登录认证系统
BASK2311的博客
12-27 531
每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。同样的密码每次使用 bcrypt 编码,密码暗文都是不一样的。但是有时要针对特定的用户、特定的应用进行二次密码校验的功能,防止关键系统登录,导致的信息敏感泄露,比如财务系统或者个人工资账,在实际工作中经常出现工作代理的情况,即使出现登录的密码泄露,二次密码也很好地保护敏感应用系统
MaxKey登录认证系统
顺其自然~专栏
03-07 130
登录认证系统,谐音马克思的钥匙,寓意是最大钥匙,是,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供的用户身份管理(IDM)、身份认证(AM)、登录(SSO)、RBAC权限管理和资源管理等。MaxKey注重企业级场景下的性能、安全和易用性,广泛应用于医疗、金融、政府和制造等行业。官方网站代码托管简称为,用户只需要登录认证中心一次就可以访问所有相互信任的应用系统,无需再次登录。1)所有应用系统共享一个身份认证系统
MaxKey 登录认证系统 v3.5.5GA 发布
08-23 610
MaxKey登录认证系统,谐音马克思的钥匙寓意是最大钥匙,是业界领先的IAM身份管理和认证产品,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供安全、标准和开放的用户身份管理(IDM)、身份认证(AM)、登录(SSO)、RBAC权限管理和资源管理等。官方网站官网|官网二线1054466084代码托管Gitee|GitHub。
使用开源 MaxKey 与 APISIX 网关保护你的 API
02-17 2225
Apache APISIX 是 Apache 软件基金会下的云原生。Dromara MaxKey社区MaxKey登录认证系统,保护你的 API安全
开源登录MaxKey和JumpServer 堡垒机登录集成指南
02-16 1999
MaxKey社区专注于身份安全管理(IM)、登录(SSO)和云身份认证(IDaas)领域,将为客户提供企业级的身份管理和认证,提供全面的4A安全管理(指Account,Authentication,Authorization和Audit)。为企业提供社区版IAM产品,减少企业建设IAM的成本;同时提供企业版的IAM咨询和技术支持,从而提高客户体验和降低企业内部的自开发成本。
MaxKey 登录认证系统——集成CAS应用
2301_78055266的博客
01-09 1079
记录一次认证系统集成CASSpringboot应用
Mickey流密码的实现与分析论文.docx
08-10
本论文的毕业设计创新点之一是实现了Mickey流密码算法,并在实现的基础上结合TCP/IP协议以及HASH函数等知识对其进行实用化的程序设计。该设计可以提高Mickey流密码的效率和安全性。 六、结论 Mickey流密码是一种...
mickey伪随机数发生器
02-16
Code::Blocks是一个跨平台的IDE,支持Windows、Linux和macOS,它提供了代码编辑、构建系统和调试工具,使得C++开发更为便捷。 4. **在Code::Blocks中开发PRNG**: 在Code::Blocks中,开发者可以创建一个新的C++项目...
Mickey
10-28
"米奇"(Mickey)在这里可能指的是一个与字体设计相关的项目或资源。在IT行业中,字体设计是视觉传达和用户界面设计中的一个重要元素。米奇字体可能是一种以迪士尼经典角色米老鼠(Mickey Mouse)为主题设计的独特...
m对ickey 2.0引入错误攻击分析.docx
09-20
《Mickey 2.0 引入错误攻击分析》 Mickey 2.0 是一种基于硬件的流密码算法,由 Steve Babbage 和 Matthew Dodd 设计,旨在提供安全且高效的加密服务。流密码作为一种对称加密算法,因其在实时通信和数据保护中的...
MaxKey登录系统1.2.1GA
03-20 2819
MaxKey(马克思的钥匙),寓意是最大钥匙,是基于开放用户安全身份认证系统(User Security Access System),提供简、可靠和安全的用户认证登录,包含用户认证登录、资源管理、权限管理等。 什么是登录(Single Sign On),简称为SSO? 用户只需要登录认证中心一次就可以访问所有相互信任的应用系统,无需再次登录MaxKey on GitH...
Access denied for user 'mickey'@'%' (using password: YES)
09-12
Access denied for user 'mickey'@'%' (using password: YES)是MySQL中的一个错误消息,表示用户mickey在使用给定密码时被拒绝访问。这个错误通常发生在用户试图以特定的用户名和密码连接到MySQL数据库时。 要解决这个问题,可以尝试以下几个步骤: 1. 确保用户名和密码正确:首先,检查用户名和密码是否正确输入。确保没有拼写错误或其他输入错误。 2. 检查用户权限:用户mickey可能没有足够的权限来访问数据库。使用管理员账户登录MySQL,查看mickey用户的权限设置。如果需要,可以授予mickey用户所需的权限。 3. 检查远程访问权限:如果你正在尝试从远程主机连接到MySQL服务器,并且收到了这个错误消息,那么可能是因为远程访问未被允许。在MySQL服务器配置文件中,确保允许远程访问。 4. 检查防火墙设置:防火墙可能会阻止从远程主机连接到MySQL服务器。确保防火墙设置允许MySQL的连接。 5. 重置密码:如果以上步骤都没有解决问题,尝试重置mickey用户的密码。可以使用MySQL提供的命令行工具或者图形界面工具来执行密码重置操作。 请注意,以上步骤仅供参考,具体解决方法可能因系统配置和环境而异。如果问题仍然存在,建议查看MySQL文档或者联系MySQL的技术支持团队获取进一步的帮助。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值