【安全记录】使用CAS实现SSO单点登录

最新推荐文章于 2022-11-08 11:11:55 发布
最新推荐文章于 2022-11-08 11:11:55 发布
阅读量383 收藏
点赞数 1
分类专栏: 信安文摘 文章标签: 网络安全 安全漏洞 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FHLZLHQ/article/details/119789444
版权

文章目录

微信公众号:信安文摘

1. 前言

平时渗透过程中总会遇到很多SSO单点登录的站群,也不太清楚其中的原理。最近看到一篇文章,讲解了使用CAS实现SSO功能,

2. 相关知识介绍

2.1 SSO概述

单点登录(Single Sign-On , 简称 SSO)是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。

2.2 CAS介绍

CAS(Central Authentication Service)中文翻译为++统一身份认证服务或中央身份服务++,它由服务端和客户端组成,实现SSO,并且容易进行企业应用的集成。

官网地址:https://www.apereo.org/projects/cas

服务端:CAS Server为需要独立部署的web应用

客户端:CAS Client支持非常多的客户端(这里指单点登录系统中的各个web应用),包括 Java、.Net 、ISAPI、Php、Perl、uPortal、Acegi、Ruby、VBScript等客户端

整体架构图如下:

对客户端受保护资源的访问请求,需要登录,重定向到CAS Server。

3. CAS服务端安装部署

使用maven进行build,所以部署前先安装maven,并配置好maven仓库来源与本地仓库路径(防止下载的包默认放在c盘)

下载5.3版本CAS 服务端:https://github.com/apereo/cas-overlay-template/tree/5.3

解压:

在解压目录下运行build.cmd命令:

build.cmd package

会从maven仓库下载相关的依赖包,最后在target目录下得到可直接部署的war包:

将war包放在tomcat的webapps目录下,(我这里使用的是tomcat 8.5.9版本,一开始使用的7.0.99版本一直部署不成功)。部署需要一段时间,部署完成后,访问http://127.0.0.1:8080/cas即可看到主页面。

登录账号密码配置文件位置:\webapps\cas\WEB-INF\classes\application.properties

默认账号密码为:

cas.authn.accept.users=casuser::Mellon

4. CAS 服务端配置

主要配置修改为去除HTTPS认证。

使用https传输需要相关的证书文件,在本次搭建学习过程中,我使用http协议即可。

修改CAS服务端配置文件:

\cas\WEB-INF\classes\application.properties

添加如下内容:

cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true

\cas\WEB-INF\classes\services\HTTPSandIMAPS-10000001.json

修改为如下内容:

"serviceId" : "^(https|http|imaps)://.*"

5. CAS 客户端编写配置

回到CAS架构的图:

客户端就是一个一个应用,这里创建两个springboot测试项目作为客户端。

5.1 客户端1

创建一个springboot项目,配置的具体过程可以学习参考链接,添加如下依赖pom.xml

<dependency>
    <groupId>net.unicon.cas</groupId>
    <artifactId>cas-client-autoconfig-support</artifactId>
    <version>2.1.0-GA</version>
</dependency>

在resources下新建application.properties(或者已经存在该配置文件),写入如下内容:

server.port=8088

#cas服务端的地址
cas.server-url-prefix=http://localhost:8080/cas

#cas服务端的登录地址
cas.server-login-url=http://localhost:8080/cas/login

#当前客户端的地址(客户端)
cas.client-host-url=http://localhost:8088

#Ticket校验器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3

接着在Java目录下新建一个包com.client1,在该包下新建一个类Application,代码如下:

package com.client1;

import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

// 启动CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

再新建一个CasTest1类:

package com.client1;

import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@EnableAutoConfiguration
public class CasTest1 {

    @RequestMapping("/test1")
    public String test1(){
        return "This is test1";
    }
}

运行springboot项目:

5.2 客户端2

使用同样的方法创建另外一个项目:

application.properties

server.port=8099

#cas服务端的地址
cas.server-url-prefix=http://localhost:8080/cas

#cas服务端的登录地址
cas.server-login-url=http://localhost:8080/cas/login

#当前客户端的地址(客户端)
cas.client-host-url=http://localhost:8099

#Ticket校验器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3

Application.java

package com.client2;

import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

// 启动CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

CasTest2.java

package com.client2;

import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@EnableAutoConfiguration
public class CasTest2 {

    @RequestMapping("/test2")
    public String test1(){
        return "This is test2";
    }
}

6. 效果演示

启动两个客户端的springboot项目,启动tomcat来运行cas服务端。

访问客户端1的服务:http://localhost:8088/test1

会跳转到http://localhost:8080/cas/login?service=http%3A%2F%2Flocalhost%3A8088%2Ftest1

在另外一个浏览器访问客户端2的服务:http://localhost:8099/test2,同样跳转到CAS的登录中心。

使用账号密码登录客户端1的服务,可以成功访问test1路由:

打开浏览器新的标签,输入http://localhost:8099/test2,这次就没有跳转到cas的登录中心,而是可以直接访问需要认证后的页面了。

7. 总结

回顾整个应用的过程,结合架构图:

CAS Server作为一个中转中心,在同一个浏览器中,CAS会对认证做保存,管理所有客户端(一个一个应用),统一鉴权管理。

CAS Server需要独立部署,主要负责对用户的认证工作,CAS Client负责处理;对客户端受保护资源的访问请求,需要登录时重定向到CAS Server。

8. 参考链接

基于CAS实现SSO单点登录

CAS5.3服务器搭建及SpringBoot整合CAS实现单点登录

微信公众号:信安文摘

信安文摘

君行路V
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
unicon-cas-overlay:普通CAS胃被覆盖
05-21
unicon-cas-overlay 通用CAS Maven战争叠加层,可练习CAS的最新版本以及的最新功能 此覆盖图可以自由用作本地CAS Maven战争覆盖图的起始模板。 版本号 < cas>3.6.0</ cas> < cas>1.16</ cas> 要求 Apache Maven 3 Web服务器(例如Apache Tomcat 7) Apache Ant(可选) 配置 etc目录包含样本配置文件,这些样本配置文件需要复制到外部文件系统位置(默认情况下为/etc/cas ),并进行配置以满足本地CAS安装需求。 部署方式 蚂蚁 将CATALINA_HOME设置为Tomcat目录的位置(例如/apps/tomcat ) 将M2_HOME设置为Maven目录的位置(例如apps/
CAS实现sso单点登录原理
03-21
CAS实现sso单点登录原理,可以方便技术人员理解
使用springboot结合vue实现sso单点登录
08-25
主要为大家详细介绍了如何使用springboot+vue实现sso单点登录,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
cas-server-3.5.2
04-16
CAS(Central Authentication Service) 是 Yale 大学发起的一个开源项目,据统计,大概每 10 个采用开源构建 Web SSO 的 Java 项目,就有 8 个使用 CAS
统一身份认证-CAS配置实现
09-11
统一身份认证-CAS配置实现:介绍使用cas在tomcat和weblogic下实现统一身份认证
单点登录 cas 二次开发 客户端集成【系列四】
qq_29384639的博客
01-23 1218
1、客户端目录结构 客户端采用springboot构建进行快捷测试 2、pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org.
springboot整个cas_SpringBoot集成CAS单点登录
weixin_42514654的博客
02-04 626
SpringBoot集成CAS单点登录退出,简单几步即可搞定。1.pom.xml中引入依赖net.unicon.cascas-client-autoconfig-support1.5.0-GA2.application.properties中加入配置#cas配置cas.server-url-prefix=http://10.0.192.132:8080/cas //单点登录服务器地址cas.ser...
Springboot和vue前后端分离项目接入cas单点登录,解决跨域
明晓默的博客
03-08 6218
前后端分离项目接入cas单点的登录,解决跨域
SpringBoot整合Shiro
桐花思雨
10-22 283
目录什么是 `Shiro``Shiro` 架构`Shiro` 架构图`Shiro` 工作原理 什么是 Shiro Shiro 是一个强大的简单易用的 Java 安全框架,主要用来更便捷的 认证,授权,加密,会话管理。Shiro 首要的和最重要的目标就是容易使用并且容易理解,通过 Shiro 易于理解的API,您可以快速、轻松地获得任何应用程序——从最小的移动应用程序最大的网络和企业应用程序 Shiro 架构 Shiro 架构图 Authentication:身份认证/登录 Authorization:验
CAS不拦截指定url过滤
weixin_34226706的博客
02-06 1580
2019独角兽企业重金招聘Python工程师标准>>> ...
CAS jasig SSO单点登录解决方案完整版
04-14
cas-client-core-3.2.1.jar LoginImpl.java LoginServlet.java SSOClientFilter.java web.xml 电子政务平台单点登录集成手册v4.0-2017年2月9日.docx
spring + shiro + cas 实现sso单点登录的示例代码
08-29
本篇文章主要介绍了spring + shiro + cas 实现sso单点登录的示例代码,具有一定的参考价值,有兴趣的可以了解一下
PHP 使用TP5.0 实现SSO单点登录
07-28
因为公司要实现SSO单点登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现SSO单点登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
CAS-SSO-VUE,前后端分离模式单点登录DEMO
cd4479163的博客
11-08 1181
springboot-vue-cas,前后端分离springboot+vue项目集成cas登录
CAS5.3服务器搭建及SpringBoot整合CAS实现单点登录
yyhdyp的博客
08-04 4787
CAS5.3服务器搭建及SpringBoot整合CAS实现单点登录1.1 什么是单点登录1.2 什么是CAS1.3 CAS服务端部署1.template下载1.4 客户端搭建 1.1 什么是单点登录 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 我们目前的系...
CAS单点登录:服务端5.3,springboot集成客户端
hzj666的博客
03-04 2691
文章目录一、准备二、配置三、遇到的问题1.无法返回自定义attributes信息2.服务端无法使用自己的文件,编译之后还是使用模板的代码3.在过滤器中自己配置了Cas30ProxyReceivingTicketValidationFilter,没有生效 一、准备 jdk版本最低要求1.8 服务端使用cas-overlay-template,版本是5.3,下载地址,下载解压完成后,作为maven项目...
Springboot之整合cas client
圆师傅的博客
09-27 3463
Springboot之整合cas client CAS client在github的示例项目使用的是web.xml来配置过滤器 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.
SpringBoot集成CAS客户端
灬勿忘丶心安
07-17 7447
SpringBoot集成CAS客户端实现单点登录功能 一、使用第三方的starter 依赖的 jar 包: &lt;!-- CAS --&gt; &lt;dependency&gt; &lt;groupId&gt;net.unicon.cas&lt;/groupId&gt; &lt;artifactId&gt;cas-client-autoconfig-support&lt;...
C#实现SSO单点登录
最新发布
05-25
在C#中实现SSO单点登录,需要使用一些技术和工具,以下是一些步骤: 1. 安装和配置IdentityServer4:IdentityServer是一个开源框架,用于实现身份验证和授权,可以在ASP.NET Core应用程序中使用它来实现SSO单点登录。首先需要安装IdentityServer并进行必要的配置。 2. 配置客户端:要使用SSO单点登录,必须定义客户端应用程序。客户端应用程序是想要使用SSO服务的应用程序。在IdentityServer中,可以通过添加客户端配置来定义客户端应用程序。 3. 配置用户存储:在IdentityServer中,可以使用不同的用户存储机制,例如,可以使用ASP.NET Core Identity或自定义用户存储。需要配置用户存储以便IdentityServer可以使用它来验证用户。 4. 实现登录逻辑:在客户端应用程序中,需要实现登录逻辑以便用户可以登录。用户登录时,应将用户重定向到IdentityServer以进行身份验证。 5. 实现注销逻辑:在客户端应用程序中,需要实现注销逻辑以便用户可以注销。用户注销时,应将用户重定向到IdentityServer以进行注销。 这些是实现SSO单点登录的一些步骤,但具体实现可能因应用程序和需求而异。建议参考IdentityServer的文档和示例以获得更多指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值