使用Apereo Cas 5.1.3的Restful接口实现SSO及TGC分析

最新推荐文章于 2024-06-10 19:12:12 发布
最新推荐文章于 2024-06-10 19:12:12 发布
阅读量1.6w 收藏 27
点赞数 13
分类专栏: cas sso 文章标签: sso cas tgc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cn_yh/article/details/77962467
版权
使用Apereo Cas 5.1.3的Restful接口实现SSO及TGC分析关于CAS的认证原理,网上已有很多相关文章了,官方文档也有说明,这里就不再详述了。本文重在阐述使用Apereo Cas 5.1.3遇到的与TGC相关的问题,及问题的分析解决过程。
摘要由CSDN通过智能技术生成

关于CAS的认证原理,网上已有很多相关文章了,官方文档也有说明,这里就不再详述了。本文重在阐述使用Apereo Cas 5.1.3遇到的与TGC相关的问题,及问题的分析解决过程。

遇到的TGC相关的问题:

  1. 由于需要使用云环境,把cas部署在了华为云上,配置了负载均衡(未启用负载均衡的会话保持),结果登陆状态无法保持,经过查看cas的日志,发现第二次访问的时候,请求的源IP与第一次访问的源IP不一致,被CAS拒绝了。华为云上的负载均衡器是一个集群,对内有多个内网IP,导致出现该问题,启用ELB的会话保持,暂时避开了此问题。
  2. 为了实现CAS集群,实现CAS无状态化,需要把CAS的session、TGT存在外部缓存redis中。实现之后,发现浏览器端的Cookie有一个TGC的值,会话状态是靠TGC保持的(即使删除SessionID,只要TGC存在就能保持登录状态)。在redis中却没发现TGC的踪迹。TGC还存储在CAS程序中?如果是,那么会话状态还是在应用实例中保持的,没有实现将所有状态信息放到程序外部。
  3. 一些业务系统需要有自己的登陆页面,在自己的登陆页面中调用CAS的Restful接口进行登录,同时又希望登录后,再访问其他使用CAS单点登录的系统时,不用再次登录。使用CAS的Restful接口进行登录认证倒容易实现,但再访问其他使用CAS单点登录的系统时,不用再次登录却没法按照CAS官方资料实现。经过分析,主要是由于业务系统使用自己的登陆页面登陆后,没有在CAS的域下写入TGC的Cookie值。要解决这个问题就需要弄清楚TGC的生成及使用逻辑,不得不去了解TGC的来龙去脉了。

解决问题的过程:

通过堆栈信息,顺利找到了CAS页面登录,表单提交的Action : SendTicketGrantingTicketAction,顺藤摸瓜,在doExecute方法中找到了调用CookieRetrievingCookieGeneratoraddCookie相关方法:

this.ticketGrantingTicketCookieGenerator.addCookie(request, response, ticketGrantingTicketId);

在addCookie方法中找到了构造cookie的相关方法: 

final String theCookieValue = this.casCookieValueManager.buildCookieValue(cookieValue, request);

CookieValueManager有两个实现类:DefaultCasCookieValueManagerNoOpCookieValueManager。在Debug过程中,发现使用的是DefaultCasCookieValueManager实现类,查看它的buildCookieValue方法:

    @Override
    public String buildCookieValue(final String givenCookieValue, final HttpServletRequest request) {
        final ClientInfo clientInfo = ClientInfoHolder.getClientInfo();
        final StringBuilder builder = new StringBuilder(givenCookieValue)
                .append(COOKIE_FIELD_SEPARATOR)
                .append(clientInfo.getClientIpAddress());

        final String userAgent = WebUtils.getHttpServletRequestUserAgent(request);
        if (StringUtils.isBlank(userAgent)) {
            throw new IllegalStateException("Request does not specify a user-agent");
        }
        builder.append(COOKIE_FIELD_SEPARATOR).append(userAgent);

        final String res = builder.toString();
        LOGGER.debug("Encoding cookie value [{}]", res);
        return this.cipherExecutor.encode(res);
    }

逻辑很简单,方法传入的givenCookieValue的值其实就是TGT的值,把TGT的值使用分隔符附加上客户端IP地址、客户端代理信息(浏览器信息),编码后就得到了TGC的值。
例如:
加密前的值:

TGT-1-VOscp5EQosRdeRJK1vIIHwFCkFOeoHIqTnggPCqJ67TdqbWLi3-yh-PC@0:0:0:0:0:0:0:1@Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0

加密后的值,即客户端浏览器中存储的TGC Cookie的值:

eyJhbGciOiJIUzUxMiJ9.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.pZlVEOYioDF9_DJjlmOSTvWJ--WJOJe3dFQpAJRHXwH35XYXPNgcsfQ6NQ-1xoBb_-whvsOdCx68yQNdSWTyYQ

那么TGC的值在服务端是存储在哪里的呢?答案是没有存储。因为浏览器再次发送请求时,会传输来Cookie的值(即从客户端请求中获取TGC),解密TGC的值就获取了对应的TGT信息。看一下该类中对应的获取cookie的方法obtainCookieValue

    @Override
    public String obtainCookieValue(final Cookie cookie, final HttpServletRequest request) {
最低0.47元/天 解锁文章
cn_yh
关注
  • 13
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
Apereo CAS5.2.3 自定义登录页,验证码,扩展开发,注册功能
04-25
完整项目在https://download.csdn.net/download/u010588262/10327539 这个资源是新增功能之后的main文件夹 对应博客系列:https://blog.csdn.net/u010588262/article/category/7548325 对应博客这篇:https://blog.csdn.net/u010588262/article/details/80014083
CAS单点登录六-Restful API
RedStarOfSleep's Blog
06-28 1万+
CAS-server提供了restful api供调用,要开启restful服务,首先要找到与之对应的jar包。 cas源代码里cas-server-integration-restlet这个工程就是支持restful的模块,编译出来后得到一个jar包,3.6之前的版本也可以直接下载到这个jar包。 把jar包cas-server-integration-restlet-3.5.2.jar,放
CAS Server Restful接口实现后台认证
最新发布
qq_40874285的博客
06-10 795
接口参数说明接口说明使用PathVariable接收参数,参数为ST票据。用于校验ST票据状态使用PathVariable接收参数,参数为TGT;以及需要service作为表单参数使用application/x-www-form-urlencoded形式传递即可。用于生成ST票据与CAS Server的UsernamePasswordCredential参数有关,默认为username和password参数,使用application/x-www-form-urlencoded形式传参。
CAS配置(3)之restful-api接入接口
bamang6147的博客
06-23 983
第一步,cas服务端对api接口支持 在cas-server-webapp下pom.xml添加如下依赖 <dependency> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-integration-restlet...
cas restful接口实现SSO
weixin_30394669的博客
01-24 761
一、使用pac4j插件 https://apereo.github.io/cas/6.0.x/protocol/REST-Protocol.html 官网链接cas restclient 二、cas server端下载依赖 三、使用客户端测试连接 private final static String CAS_LOGIN_URL = "https://mmoayye...
CAS认证原理、TGT/ST、流程介绍
u010321349的博客
12-25 3517
转载博文 https://blog.csdn.net/wang379275614/article/details/46337529 CAS 4.1.10 版本服务端源码解读:https://www.meiwen.com.cn/subject/azlctqtx.html  CAS,Central Authentication Service—中央认证服务,是Yale 大学发起的一个企业级的、开...
【Tech】CAS RESTful API使用笔记
weixin_30588675的博客
11-24 125
在被maven,cas,tomcat各种贱人就是矫情的虐了好几天之后,终于跑通了demo,哈哈哈哈哈哈哈~ 在这里详细记录一下,给和我一样连maven都不会的小白一点福利,同时欢迎大神指正。 首先上最好的参考资料:http://stackoverflow.com/questions/22625368/working-java-rest-client-example-to-access-c...
CAS单点登录(十)——通过Restful协议请求认证和退出
热门推荐
Anumbrella
03-30 2万+
前面我们讲解了一些列的CAS文章,对CAS有了很多了解。今天我们讲解一个现在服务常用的REST协议来完成CAS的登录、认证,不需要我们手动登录跳转到CAS的登录页面就可以完成CAS的一些列操作。 我们知道CAS认证支持包括多种协议去认证,包括CAS、OAuth、SAML1、SAML2、REST Protocol等协议,这里我们采用REST协议去获取TGT,然后获取到TGT后获取到ST,最后拿到ST...
CAS总结之Ticket篇(转,非常详细,后文还提到一个ppt,非常易懂)
燃烧JAVA
07-18 1万+
CAS的核心就是其Ticket,及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中有的票据。   一 名词解释 TGT(Ticket Grangting Ticket) TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在
cas单点退出和自定义验证登录成功后返回的信息
weixin_37548740的博客
07-24 2878
简介 项目中使用CAS后续需要外部系统的接入,这里需要解决两个问题,1:单点登出问题,之前的文章中提到各个接入cas的应用在验证st时会获取到用户信息,然后将用户信息做缓存,下次再次访问这个子应用时就不需要再向cas去获取是否登录,那么这就存在一个问题,CAS已经退出登录,但是各个子应用仍然保存着登录状态,这就导致了用户仍然可以访问子应用。第二个问题,由于在验证st时,cas会返回用户信息,但是cas默认返回的信息有并不能满足项目需求,有些是多余的,还有一些自定义的用户信息并没有返回,这里也需要对信息做重
第三方终端如何接入CAS
AVATAR
07-16 2249
话不多说,上代码: package org.jasig.cas.util; import java.io.BufferedReader; import java.io.BufferedWriter; import java.io.IOException; import java.io.InputStreamReader; import java.io.OutputStreamWriter; import java.net.HttpURLConnection; import java.net.Malfo
cas5.3.2单点登录-rest认证(十二)
这个名字想了很久
09-04 1万+
原文地址,转载请注明出处:&amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/81544181&amp;nbsp;&amp;nbsp; &amp;nbsp;&amp;nbsp;©王赛超&amp;nbsp; 我们之前在cas服务端整合了shiro,在shirorealm中通过查询数据库获取用户信息和角色等信息,如果都是内部服务,将从数据库中获取信息改为通过调用接口获取信息就可以...
CAS统一登录认证(5):与ldap连接
LinBSoft的专栏
08-28 7198
     cas认证与数据库已经连接了,可以认证,但有一个cas客户端需要ldap认证,就开始研究ldap,搞了四天,头大,ldap很快就安装配置好了,也可以在ldap命令验证,cas也是上周就配置好了,关键在于cas和ldap的连接,我的是cas5.3.2,网上的cas和ldap的连接从cas3.2一直参考到cas5.2的版本的配置,尝试了无数配置方案,都没成功,网上也没有见cas5.3.2和l...
jasig-cas单点登录之自定义验证
07-05 219
[size=small][b]jasig-cas单点登录之自定义验证:[/b] 自定义验证(可参考系统自带的SimpleTestUsernamePasswordAuthenticationHandler): 找到WEB-INF/deployerConfigContext.xml,可以看出cas的配置和spring一样的,都是采用了bean来配置的。 找到bean(authenticati...
外部系统通过请求地址传递密钥,解析之后用户通过cas单点登录到指定页面
无极
04-15 583
1、请求地址url http://127.0.0.1:8080/ispace4.0/moocMainIndex/rucLogin.do?kcid=253&token=1555055520:B94D3023C4F0764B32E85EE2D59A20A4:xs118211 2、跳转登录action /** * * 标题: rucLogin * 描述: 外部系...
CAS 之 集成RESTful API
923723914
09-14 617
原文地址:http://denger.iteye.com/blog/973068 最近因为公司另一款基于C/S的产品也需要整合到CASSSO,但是 CAS 本身对于客户端或浏览器而言是基于其COOKIE来存储用户(TGT)Ticket的,所以这时候就需要使用 CASRestFul API 来进行登录验证,并支持在C/S软件中点击用户头象时打开浏览器并跳转至用户中心,而且这时候在 W...
rest sso 和_cas restful接口实现SSO
weixin_39974811的博客
12-21 345
private final static String CAS_LOGIN_URL = "https://mmoayyed.unicon.net:8433/cas";// private final static String CAS_LOGIN_URL = "https://mmoayyed.unicon.net:8433/cas/v1/tickets/login";private fin...
CAS前后端分离思路,gateway绑定cas的TGT
weixin_43857522的博客
11-16 2990
思路讲解: 1. cas 可以将 TGT 存储到redis或者mysql. 这个TGT 是带有时间的 2. cas 开启监控页面后可以获取 st 和 TGT 的绑定信息 3. 用户登陆时,会携带 st 到 gateway 通过以上三点, 可以绑定一个自定义的token 给前端, 然后绑定到cas 存储到redis 的TGT,并将失效时间设置一致,这样每次 用户登陆都去查询是否为同一个TGT 颁发,来给前端不同的token,来实现单点登陆 1. 将cas的TGT 存储到redis 引入jar <d
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值