文章目录
微信公众号:信安文摘
1. 前言
平时渗透过程中总会遇到很多SSO单点登录的站群,也不太清楚其中的原理。最近看到一篇文章,讲解了使用CAS实现SSO功能,
2. 相关知识介绍
2.1 SSO概述
单点登录(Single Sign-On , 简称 SSO)是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。
2.2 CAS介绍
CAS(Central Authentication Service)中文翻译为++统一身份认证服务或中央身份服务++,它由服务端和客户端组成,实现SSO,并且容易进行企业应用的集成。
官网地址:https://www.apereo.org/projects/cas
服务端:CAS Server为需要独立部署的web应用
客户端:CAS Client支持非常多的客户端(这里指单点登录系统中的各个web应用),包括 Java、.Net 、ISAPI、Php、Perl、uPortal、Acegi、Ruby、VBScript等客户端
整体架构图如下:
对客户端受保护资源的访问请求,需要登录,重定向到CAS Server。
3. CAS服务端安装部署
使用maven进行build,所以部署前先安装maven,并配置好maven仓库来源与本地仓库路径(防止下载的包默认放在c盘)
下载5.3版本CAS 服务端:https://github.com/apereo/cas-overlay-template/tree/5.3
解压:
在解压目录下运行build.cmd
命令:
build.cmd package
会从maven仓库下载相关的依赖包,最后在target目录下得到可直接部署的war包:
将war包放在tomcat的webapps目录下,(我这里使用的是tomcat 8.5.9版本,一开始使用的7.0.99版本一直部署不成功)。部署需要一段时间,部署完成后,访问http://127.0.0.1:8080/cas
即可看到主页面。
登录账号密码配置文件位置:\webapps\cas\WEB-INF\classes\application.properties
默认账号密码为:
cas.authn.accept.users=casuser::Mellon
4. CAS 服务端配置
主要配置修改为去除HTTPS认证。
使用https传输需要相关的证书文件,在本次搭建学习过程中,我使用http协议即可。
修改CAS服务端配置文件:
\cas\WEB-INF\classes\application.properties
添加如下内容:
cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true
\cas\WEB-INF\classes\services\HTTPSandIMAPS-10000001.json
修改为如下内容:
"serviceId" : "^(https|http|imaps)://.*"
5. CAS 客户端编写配置
回到CAS架构的图:
客户端就是一个一个应用,这里创建两个springboot测试项目作为客户端。
5.1 客户端1
创建一个springboot项目,配置的具体过程可以学习参考链接,添加如下依赖pom.xml
:
<dependency>
<groupId>net.unicon.cas</groupId>
<artifactId>cas-client-autoconfig-support</artifactId>
<version>2.1.0-GA</version>
</dependency>
在resources下新建application.properties(或者已经存在该配置文件),