CAS SSO 4.0 用户数据库验证

最新推荐文章于 2023-12-27 10:45:46 发布
最新推荐文章于 2023-12-27 10:45:46 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: CAS 4.0.0 文章标签: cas sso web应用 安全 开源项目
1. 概述 
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 
耶鲁大学(yale)开发的单点登录(Single Sign On)系统称为CAS(Central Authentication Service)被设计成一个独立的Web应用程序(cas.war)。 
CAS在2004年12月成为Jasig项目,所以也叫JA-SIG CAS。 
本文中服务器版本基于4.0.0版本,对应的客户端版本为3.3.3;
官网:http://jasig.github.io/cas/4.0.0/index.html 
2. CAS 原理和协议 
从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。图1 是 CAS 最基本的协议过程:
CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket,如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。用户在第 3 步中输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket,并缓存以待将来验证,之后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新产生的 Ticket 过后,在第 5,6 步中与 CAS Server 进行身份合适,以确保 Service Ticket 的合法性。 
在该协议中,所有与 CAS 的交互均采用 SSL 协议,确保,ST 和 TGC 的安全性。协议工作过程中会有 2 次重定向的过程,但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。 
另外,CAS 协议中还提供了 Proxy (代理)模式,以适应更加高级、复杂的应用场景,具体介绍可以参考 CAS 官方网站上的相关文档。 
3. 环境 
    • Tomcat 8.x 本文中安装目录为: D:\tool\apache-tomcat-8.0.21
    • JDK 8 本文中安装目录为: D:\tool\Java\jdk1.8.0_45
    • CAS Server版本: cas-server-4.0.0
    • CAS Client版本: cas-client-3.3.3
关于CAS SSO的证书配置以及简单的验证可以到博主之前的博文 : CAS SSO 简介
4 .CAS Server 用户认证定制 
首先,打开 D:\tool\apache-tomcat-8.0.21\webapps\cas\WEB-INFdeployerConfigContext.xml

注释掉默认的用户验证,注释的代码如下:

    <bean id="primaryAuthenticationHandler"
          class="org.jasig.cas.authentication.AcceptUsersAuthenticationHandler">
        <property name="users">
            <map>
                <entry key="casuser" value="Mellon"/>
            </map>
        </property>
    </bean>

添加JDBC验证方式如下:

	<!-- 数据库连接 -->
	<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource" >
		<property name="driverClass" value="com.mysql.jdbc.Driver"/>    
		<property name="jdbcUrl" value="jdbc:mysql://192.168.0.10:3306/college?useUnicode=true&characterEncoding=UTF-8&zeroDateTimeBehavior=convertToNull"/>    
		<property name="user" value="root"/>
		<property name="password" value="root 1"/>
		<!-- 博主遇到的MySQL8小时问题 -->
		<property name="preferredTestQuery" value="SELECT 1"/>    
		<property name="idleConnectionTestPeriod" value="18000"/>    
		<property name="testConnectionOnCheckout" value="true"/>
	</bean>
	<!-- 可选配置:数据库加密方式 -->
	<bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"
		c:encodingAlgorithm="SHA1"
		p:characterEncoding="UTF-8" />
	
	<bean id="dbAuthHandler" class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"
		p:dataSource-ref="dataSource"
		p:sql="select password from t_user_login where username=? and type='1'"
		p:passwordEncoder-ref="passwordEncoder" />

找到bean的id为authenticationManager做以下修改.

	<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">
        <constructor-arg>
            <map>
                <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver" />
                <!--<entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" /> -->
				<entry key-ref="dbAuthHandler" value-ref="primaryPrincipalResolver"/>
            </map>
        </constructor-arg>
		<property name="authenticationPolicy">
            <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy" />
        </property>
    </bean>

根据上述配置,我们需要在D:\apache-tomcat-8.0.21\webapps\cas\WEB-INF\lib中加入c3p0-0.9.1.2.jar包、mysql-connector-java-5.1.21.jar包和cas-server-support-jdbc-4.0.0.jar包。

5、CAS Client 配置

	<!-- 单点登出监听器 -->
	<listener>
		<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
	</listener>
	<!-- 该过滤器用于实现单点登出功能,可选配置。 -->
	<filter>
	   <filter-name>CAS Single Sign Out Filter</filter-name>
	   <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
	</filter>

	<!-- 该过滤器负责用户的认证工作,必须启用它 -->
	<filter>
	  <filter-name>CAS Authentication Filter</filter-name>
	  <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
	  <init-param>
		<param-name>casServerLoginUrl</param-name>
		<param-value>https://localhost:8443/cas/login</param-value>
	  </init-param>
	  <init-param>
		<param-name>serverName</param-name>
		<param-value>http://localhost:8080</param-value>
	  </init-param>
	</filter>

	<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->
	<filter>
		<filter-name>CAS Validation Filter</filter-name>
		<filter-class>org.jasig.cas.client.validation.Cas10TicketValidationFilter</filter-class>
		<init-param>
			<param-name>casServerUrlPrefix</param-name>
			<param-value>https://localhost:8443/cas</param-value>
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<param-value>http://localhost:8080</param-value>
		</init-param>
		<init-param>
			<param-name>redirectAfterValidation</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>

	<!-- 
		该过滤器负责实现HttpServletRequest请求的包裹,
		比如允许开发者通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名,可选配置。 
	-->
	<filter>
	  <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
	  <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
	</filter>

	<!-- 
		该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
		比如AssertionHolder.getAssertion().getPrincipal().getName().
	 -->
	<filter>
	  <filter-name>CAS Assertion Thread Local Filter</filter-name>
	  <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
	</filter>

	<filter-mapping>
	   <filter-name>CAS Single Sign Out Filter</filter-name>
	   <url-pattern>/*</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>CAS Authentication Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>CAS Validation Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>CAS Assertion Thread Local Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

转载地址: http://itindex.net/detail/51110-cas-4.0-登录

carl_china
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全系列之CAS系统
lishinho的博客
06-21 3371
前言 本期介绍一下CAS(Central Authentiction Service )中心认证服务,以Apereo CAS工程为核心讲解CAS是怎么解决商业级系统SSO(single sign-on)认证问题的。 目录 前言 一,SSO与SLO 二,CAS系统架构 三,CAS client 四 , CAS server 五,CAS protocol 一,SSO与SLO 在介绍CAS工作之前,要先从SSO的故事讲起。SSO(single sign-on)单点登陆和SLO(single .
CAS_EXP:CAS硬编码远程代码执行漏洞
02-13
CAS硬编码远程代码执行突破 使用方式 java -jar cas-0.0.1-all.jar ----------------------- cas检测工具------------------------ --------- -----------本软件临时学习交流,如作他用所承受的法律责任一概与作者无关--------- ---------使用:jar -jar cas-0.0.1-all.jar ---由maobugs创建-------------------------------- 执行命令whoami ... 有效载荷是:AAAAIgAAABBrUgLwoiwOSTCDnal67lrrAAAABmFlczEyOG2E5KGXIUeDS4otbEU6mQufQIcYPEwC AzL9uqiZr4dOaap91C0EktTooeh7aMerjfA + HcOoYp6
cas4.10 mysql 配置_CAS 4.0.0RC 配置通过数据库认证用户登录
weixin_42131861的博客
01-26 82
配置通过数据库认证用户登录打开webapp\WEB-INF目录下的deployerConfigContext.xml,替换class="org.jasig.cas.authentication.AcceptUsersAuthenticationHandler">为com.mysql.jdbc.Driverjdbc:mysql://localhost:3306/db_nameroot使用jdb...
CAS SSO 4.0.x 用户数据库验证
carl.zhao的专栏
06-21 4905
单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 耶鲁大学(yale)开发的单点登录(Single Sign On)系统称为CAS(Central Authentication Service)被设计成一个独立的Web应用程序(cas.war)。 CAS在2004年12月成为Jas
CAS配置数据库进行用户验证
weixin_34416754的博客
12-05 130
2019独角兽企业重金招聘Python工程师标准>>> ...
CAS-4.0.3服务端通过数据库认证用户Demo
07-18
这是我的博文http://blog.csdn.net/jadyer/article/details/46939943用到的代码
cas-server4.0
02-24
- CAS服务器4.0的核心功能是用户认证,它能验证用户凭据(如用户名和密码)来确保只有授权用户才能访问受保护的资源。 - 支持多种认证机制,如数据库、LDAP目录服务、活动目录等,可以根据组织的实际情况选择合适...
CAS4.0单点登录
09-02
CAS(Central Authentication Service)是耶鲁大学开发的一个开源项目,主要功能是实现用户的身份验证,为Web应用系统提供单一登录(Single Sign-On, SSO)服务。CAS4.0CAS的一个版本,它提供了更安全、更灵活的...
cas4.2.4、cas4.0war包
12-09
此外,根据您的组织需求,可能还需要配置CAS与您的特定身份源(如LDAP、数据库)进行集成,以便验证用户的凭证。 总之,CAS 4.2.4和CAS 4.0.0是强大的身份验证解决方案,它们为开发者和管理员提供了丰富的功能来...
cas-server-4.0版本
04-11
CAS(Central Authentication Service)是一个基于Web的单一登录(Single Sign-On, SSO)协议,用于在网络上验证用户身份。它允许用户通过一个凭证(如用户名和密码)登录一次,然后可以在多个应用系统中自由穿梭,...
jasig cas4.1.4+oracle数据库认证
07-21
Jasig Central Authentication Service(CAS)是一个开源的身份验证框架,主要用于实现单点登录(Single Sign-On, SSO)。它允许用户在一个应用系统中登录后,无需再次认证即可访问其他集成的应用系统。CAS 4.1.4 是...
漏洞分析】反序列化漏洞
kali_Ma的博客
02-21 973
0x01 背景 2022年1月18日,ORACLE官方发布了2022年第一季度的补丁,其中涉及到多个关于Weblogic的漏洞。由于Weblogic的补丁很贵,一般人下载不到,所以一直在等待相关的细节信息。 从CVE官网找到的CVE-2022-21350漏洞是属于Weblogic的未授权访问和拒绝服务漏洞,CVSS评分也只有6.5,和这里的反序列化似乎不是一个漏洞。从漏洞的简要描述来看这个漏洞似乎也不是CVE-2022-21306。 本篇文章主要是针对该漏洞的详细分析和研究,以探讨安全技术为目的,对漏洞分析
单点服务器中的CAS3.4升级到5.1.x遇到的一些问题
眼前一座山,踏平它
09-26 3184
最近需要对公司的单点服务器进行升级,该服务器使用了开源的CAS来进行单点认证,目前使用的是CAS4.3版本,打算升级到最新的5.1.x版本。现在的版本也不是我写的,然后之前对CAS也没了解过,但问题摆在眼前了,遂马上去网上找各种资料,但网上对于最新的CAS的资料甚少,不过还是找到两篇非常不错的,会在文章末尾将链接贴出来。这篇文章既然是要记录一下在升级的过程中遇到的问题,那么就不从最开始的下载CAS
CAS解决URL重定向钓鱼的安全漏洞
MRLEE1212的博客
11-26 1300
1.进入到CAS的部署路径: tomcat/webapps/cas/WEB-INF/classes/services 2.找到*.json文件,打开文件,找到"serviceId"="^http://**" 3.在2中对应的位置增加白名单: “serviceId”="^http://192.168.1.*"
Apereo cas 密钥硬编码反序列化漏洞复现与利用
最新发布
weixin_54611959的博客
12-27 205
Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实现该协议的软件包。单点登录定义单点登录(Single sign on),英文名称缩写SSOSSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。
网络安全之反序列化漏洞复现
kali_Ma的博客
11-22 2375
Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实现该协议的软件包。单点登录定义单点登录(Single sign on),英文名称缩写SSOSSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。
反序列化漏洞利用工具_Apereo_CAS_反序列化漏洞分析及利用
weixin_39777540的博客
11-28 3555
Apereo CAS 是一个开源的统一认证服务(单点登录系统),CAS是Central Authentication Service的首字母缩写。根据网上公开的漏洞详情,影响版本为4.1.X和4.2.X,本文讲述从环境搭建、漏洞分析到漏洞利用CAS反序列化漏洞一、环境搭建1. 4.1.X环境从github上下载cas-overlay-template,命令gitclone-b4.1...
Apereo CAS 4.1 反序列化命令执行漏洞复现
玄道的网安博客
12-14 2285
漏洞概述 Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。 影响版本 Apereo CAS <= 4.1.7 环境搭建 这里我使用vulhub来安装环境 进入目录并安装 启动一个Apereo CAS 4.1.5: cd vulhub-master/apereo-cas/4.1-rce/ ...
CAS4.1反序列化漏洞vulhub
m0_46580995的博客
07-31 2641
CAS 复现环境vulhub Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞,进而执行任意命令。 漏洞原理使用了默认密钥changeit public class EncryptedTranscoder implements Transcoder { private CipherBean cipherBean; private boolean co
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值