CAS认证及代理访问举例

最新推荐文章于 2023-07-26 11:18:23 发布
最新推荐文章于 2023-07-26 11:18:23 发布
阅读量2.2k 收藏 5
点赞数 1
分类专栏: CAS Spring Security 单点登录 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KeepLearnToOld/article/details/105362218
版权

文章目录

一、 CAS简介

Cas的全称是Centeral Authentication Service,是对单点登录SSO(Single Sign On)
的一种实现。其由Cas Server和Cas Client两部分组成,Cas Server是核心,而Cas Client通常就对应于我们的应用。一个Cas Server可以对应于多个Cas Client。它允许我们在一个Client进行登录以后无需再让用户输入用户名和密码进行认证即可访问其它Client应用。

Cas Server的主要作用是通过发行和验证Ticket(票)来对用户进行认证和授权访问Client应用,用于认证的凭证信息都是由Cas Server管理的。而Cas Client就对应于我们真正的应用,当然其中会使用到Cas相关的类,用于与Cas Server进行交互。

二、 CAS认证流程

下图是官网上用户认证的流程图
官网流程图

用户首次访问应用app1

如你所见,在第一次访问应用app1时,由于没有登录会直接跳转到Cas Server去进行登录认证,此时将附带查询参数service在Cas Server的登录地址上,表示登录成功后将要跳转的地址。
此时Cas Server检查到没有之前成功登录后生成的SSO Session信息,那么就会引导用户到登录页面进行登录。如:

https://cas.example.com:8443/cas/login?service=http%3A%2F%2Fapp.example.com%3A8080%2Flogin%2Fcas

用户输入信息提交登录请求,Cas Server认证成功后将生成对应的SSO Session,以及名为CASTGC的cookie,该cookie包含用来确定用户SSO Session的Ticket Granting Ticket(TGT)。之后会生成一个Service Ticket(ST),并将以ticket作为查询参数名,以该ST作为查询参数值跳转到登录时service对应的URL。如:

http://app.example.com:8080/login/cas?ticket=ST-7-hXaLlWKHnwc-RpxHEyVf0aQVF0wxxxxxx

之后的操作对用户来说都是透明的,即不可见的。
app1之后将以service和ticket作为查询参数请求Cas Server对service进行验证,地址举例:

https://cas.example.com:8443/cas/p3/serviceValidate?ticket=ST-15-K7SRE776Y1e4LtJqcMOzzaehcbgmaruilei&service=http%3A%2F%2Fapp.example.com%3A8080%2Flogin%2Fcas

验证通过后Cas Server将返回当前用户的用户名等信息。app1就会给当前用户生成其自身的Session,以后该用户以该Session都可以成功的访问app1,而不需要再去请求Cas Server进行认证。流程图如下

第二次访问app1

当该用户再去访问app2的时候,由于其在app2上没有对应的Session信息,将会跳转到Cas Server的登录地址,Cas Server此时发现其包含名为CASTGC的cookie,将获取其中包含的TGT来获取对应的SSO Session,然后会将用户重定向到app2对应的地址,以Service Ticket作为查询参数。之后app2会向Cas Server发送请求校验该Service Ticket,校验成功后app2将建立该用户对应的Session信息,以后该用户以该Session就可以自由的访问app2了。

综上所述,我们知道,各系统之间的单点登录是通过Cas Server生成的SSO Session来交流的,而用户与实际的应用系统进行交互的时候,各应用系统将建立单独的Session,以满足用户与该系统的交互需求。

三、 接入CAS所需配置

pom.xml引入文件配置
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-cas</artifactId>
    <version>5.1.5.RELEASE</version>
</dependency>
application.yml配置
cas:
  server:
    prefix: https://cas.example.com:8443/cas
    login: /login
    logout: /logout
  client:
    prefix: http://127.0.0.1:8080/clientapp
    login: /login/cas
    logout: /logout/cas
cas相关过滤器、入口配置
@Configuration
public class CasSecurityProperties {
   
    @Value("${cas.server.prefix}")
    private String casServerPrefix;

    @Value("${cas.server.login}")
    private String casServerLogin;

    @Value("${cas.server.logout}")
    private String casServerLogout;

    @Value("${cas.client.prefix}")
    private String casClientPrefix;

    @Value("${cas.client.login}")
    private String casClientLogin;

    @Value("${cas.client.logout}")
    private String casClientLogout;
    
    /**
     * 设置本cas服务的属性bean
     * serviceProperties.setAuthenticateAllArtifacts(true);
     * 设置带有ticket参数的请求都可以触发认证,主要在代理认证时使用
     * @return
     */
    @Bean
    public ServiceProperties serviceProperties() {
   
        ServiceProperties serviceProperties = new ServiceProperties();
        serviceProperties.setService(casClientPrefix + casClientLogin);
        serviceProperties.setAuthenticateAllArtifacts(true);
        return serviceProperties;
    }

    /**
     * 票据验证,使用cas3.0 代理票据认证器
     * 传递cas server地址进行初始化
     */
    @Bean
    public Cas30ProxyTicketValidator ticketValidator() {
   
        Cas30ProxyTicketValidator validator = new Cas30ProxyTicketValidator(casServerPrefix);
        return validator;
    }

    /**
     * 接收cas服务器发出的注销请求
     */
    @Bean
    public SingleSignOutFilter singleSignOutFilter() {
   
        SingleSignOutFilter singleSignOutFilter = new SingleSignOutFilter();
        singleSignOutFilter.setCasServerUrlPrefix(casServerPrefix);
        singleSignOutFilter.setIgnoreInitConfiguration(true);
        return singleSignOutFilter;
    }

    @Bean
    public LogoutSuccessHandler logoutSuccessHandler() {
   
        return new MyLogoutSuccessHandler();
    }

    /**
     * 注销请求转发到cas server
     * 由于登出会重定向到cas server页面,发生跨域,
     * 此处重写了LogoutSuccessHandler,后台只进行session销毁,然后通知前端进行登出跳转
     */
    @Bean
    public LogoutFilter logoutFilter(LogoutSuccessHandler logoutSuccessHandler) {
   
        LogoutFilter logoutFilter = new LogoutFilter(logoutSuccessHandler, new SecurityContextLogoutHandler());
        logoutFilter.setFilterProcessesUrl(casClientLogout);
        return logoutFilter;
    }

    @Bean
    public UserDetailsService userDetailsService() {
   
        UserServiceImpl userService = new UserServiceImpl();
        return userService;
    }

    @Bean
    public CasAuthenticationProvider casAuthenticationProvider(ServiceProperties sp, TicketValidator ticketValidator, UserDetailsService userDetailsService) {
   
        CasAuthenticationProvider casAuthenticationProvider = new CasAuthenticationProvider();
        casAuthenticationProvider.setKey("casProvider");
        casAuthenticationProvider.setServiceProperties(sp);
        casAuthenticationProvider.setTicketValidator(ticketValidator
最低0.47元/天 解锁文章
巧笑倩兮(*^▽^*)
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CAS认证服务器接口使用基础手册V.doc
11-24
CAS认证服务器接口使用基础手册V.doc 本文档旨在提供CAS认证服务器接口的使用基础手册,帮助用户快速了解CAS认证服务器的接口使用方法和实现细节。 1. 企业介绍 CAS认证服务器是一种基于Java认证服务器解决方案...
cas4认证服务
04-19
描述中提到的"cas认证服务器,解压完以后放在tomcat既可以启动服务器",意味着CAS服务器被设计为一个可部署在Tomcat这样的Java应用服务器上的Web应用程序。用户只需要下载CAS的war文件,解压缩到Tomcat的webapps目录...
CAS实现SSO单点登录原理
weixin_30492047的博客
11-04 331
1.CAS 简介 简单的SSO的体系中,会有下面三种角色: 1,User(多个) 2,Web应用(多个) 3,SSO认证中心(1个) 虽然SSO实现模式千奇百怪,但万变不离其宗: 1  Web应用不处理User的登录,否则就是多点登陆了,所有的登录都在SSO认证中心进行。 2 ...
IAM单点登录之CAS协议分析
qq_53058639的博客
07-26 127
集中式认证服务(Central Authentication Service,简称CAS)是一种针对web应用的单点登录协议,旨在为 Web应用系统提供一种可靠的单点登录方法,它允许一个用户访问多个应用程序,而只需向认证服务器提供一次凭证(如用户名和密码)。这样用户不仅不需在登陆web应用程序时重复认证,而且这些应用程序也无法获得密码等敏感信息。“CAS”也指实现了该协议的软件包。客户端,也可以叫做服务,通常是我们浏览器访问的web应用。认证服务器,它的主要用途是颁发票据和对用户进行身份验证。
cas-server服务端搭建
bigdata_dog的博客
04-01 7538
1、下载cas服务代码,https://github.com/apereo/cas-overlay-template/tree/5.3 2、将下载的代码打成war包(5.3为maven项目),借助maven打包命令直接打包 3、将war包放到tomcat的webapps目录下,启动tomcat 4、tomcat启动之后会解压war包生成cas文件包,此时成功一半,可以通过ip:tomcat端口号/cas/login访问cas页面(127.0.0.1:8080/cas/login) 5、默认用户密码为
CAS流程简析 服务端处理未携Service登录请求
我家有猫已长成的博客
01-30 685
CAS流程简析 服务端处理未携Service登录请求 简介。
CAS技术框架描述与定制身份认证程序
沙振中
08-24 2895
CAS技术框架   CAS  Server     目前,我们使用的CAS Server 3.1.1的是基于Spring Framework编写的,因此在CAS服务器端的配置管理中,绝大多数是Spring式的Java Bean XML配置。CAS 的服务器提供了一套易于定制的用户认证器接口,用户可以根据自身企业的在线系统的认证方式,来定制自己的认证逻辑。不论是传统的用户名/密码方式,还是基于安全证
cas代理模式代码示例
01-18
在本示例中,我们将重点讨论如何在Java环境下使用代理模式来实现代理逻辑,特别是在CAS(Central Authentication Service认证框架中的应用。CAS是一种基于Web的单点登录(SSO)解决方案,广泛用于网络应用程序的...
Cas服务端部署+认证采用MD加密方式
11-21
Cas(Central Authentication Service)是一种开放源码的身份验证框架,它提供了单一登录(Single Sign-On,SSO)功能,使得用户在访问多个应用时只需要进行一次身份验证。MD5(Message-Digest Algorithm 5)是一种...
SSO单点登录流程图分析
05-11
sso(单点登录系统)简单说就是客户端第一次访问应用1的时候,由于没有登录,会被引导到登录页面进行登录,如果登录校验通过,将返回一个认证信息ticket,作为认证凭据。下次客户端访问应用2的时候,发送的url请求会携着ticket作为自己的认证
CAS认证登录简单介绍
06-02
CAS-SSO应用简单介绍,理解有限,仅供参考!谢谢!
CAS client客户端的配置,使用java config的方式
luenxin的博客
12-02 3396
CAS客户端的配置,使用java config的方式 一、建一个类继承WebSecurityConfigurerAdapter,并且给该类加注解@EnableWebSecurity。这个类同时也是Spring Security认证相关的类,其中的configure方法就是对HTTP请求设置认证规则的。 @EnableWebSecurity public class WebSecurityC
CAS Service 部署流程(包含hppts的配置)
weixin_39831786的博客
10-25 1339
一,通过maven 命令打成 war 包 然后部署到tomcat 这步直接跳过了 很简单 百度搜索一样就可以 二,这个时候访问http://localhost/cas/login (注意不是https) cas默认账户 密码 :casuser / Mellon 如何改成https形式的访问 自签名服务端需要导入证书 PS: passport.sso.c...
cas 修改服务器ip,Cas 服务器 ServiceCas客户端)注册信息维护
weixin_32968239的博客
08-04 965
作为Cas服务器,允许哪些客户端接入与否是通过配置来定义的。对Cas服务器来说,每一个接入的客户端与一个Service配置对应;在Cas服务器启动时加载并注册上这些Service,与之对应的客户端才能接入。否则将出现一、假设Cas服务器为HTTPS类型假设我们的Cas服务器运行在8443端口,以HTTPS协议对外提供服务(《Cas 服务器 下载、编译及部署》中的cas服务器配置)。1.1 Cas客...
CAS流程简析 客户端处理携Ticket访问请求
我家有猫已长成的博客
01-30 3873
CAS流程简析 客户端处理携Ticket访问请求 简介。
CAS单点登录流程梳理
IMJCW的博客
10-22 1187
前言 新的项目中,需要对接单点登录,于是了解了一下 CAS 的登录流程。 必看流程图 先上一张图(图片来源网络) 登录 按照流程图,前端需要在初次进页面的时候,请求服务器获取鉴权。 服务端发现这个用户没有相关凭证的时候,可以返回相应的状态码告知前端需要登录。 前端跳转到 https://*.*/cas/login?service=http://*.* 进行登录。 登录完成之后, CAS 会返回给前端一个 ticket,例如: http://*.*?ticket=ST-1212 这时候,重新进入的前端页面,
CAS单点登录(五)——Service配置及管理
热门推荐
Anumbrella
08-29 3万+
在上一节我们讲述了CAS中关于自定义认证登录策略,对CAS中关于自定义登录配置的方案,校验策略有了一定的了解,如果忘记了可以去复习一下——————CAS单点登录(四)——自定义认证登录策略。这节本来该介绍自定义表单信息的知识,但是考虑到使用自定义表单知识涉及到Service配置方面的知识,所以这一节介绍一下在CASService配置及管理。 首先我们要明白CAS中的Service的概念是什么,...
cas 统一身份认证
最新发布
09-10
CAS(Central Authentication Service)是一种用于统一身份认证的开源协议和技术。它可以让用户在一次登录后,在多个应用系统中使用同一套凭证进行身份认证和授权。 CAS的工作原理如下:用户首先访问应用系统,如果尚未登录,则被重定向到CAS服务器进行身份认证CAS服务器验证用户的凭证(如用户名和密码),如果验证通过,则生成一个身份认证票据(Ticket)返回给应用系统。应用系统可以使用该票据到CAS服务器进行验证,并获取用户的身份信息。用户在其他应用系统中访问时,不需要重新登录,而是直接使用之前获得的票据进行验证。 CAS统一身份认证解决了多个应用系统中独立实现用户认证的问题,提供了单点登录(Single Sign-On)功能,使用户可以方便地在多个应用系统之间切换而无需重复登录。此外,CAS还提供了用户授权和认证的功能,可以根据应用系统的需求进行灵活的配置。 CAS已经广泛应用于教育、企业和政府等各个领域,在实现统一身份认证和单点登录方面发挥了重要作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值