CAS单点登录-Central Authentication Service

已于 2022-06-03 17:10:51 修改
阅读量712 收藏 1
点赞数
分类专栏: 场景开发-java 文章标签: apache java http
于 2022-05-24 15:43:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/greatliuda/article/details/124948238
版权

文章目录

0.0简介:

CAS是Central Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS 是 耶鲁大学(Yale University)发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。

特点:
1、开源的企业级单点登录解决方案。
2、CAS Server 为需要独立部署的 Web 应用。
3、CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。
4、CAS属于Apache 2.0许可证,允许代码修改,再发布(作为开源或商业软件)。

从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。图1 是 CAS 最基本的协议过程:

在这里插入图片描述
CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket,如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。用户在第 3 步中输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket,并缓存以待将来验证,之后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新产生的 Ticket 过后,在第 5,6 步中与 CAS Server 进行身份核实,以确保 Service Ticket 的合法性。

在该协议中,所有与 CAS 的交互均采用 SSL 协议,确保,ST 和 TGC 的安全性。协议工作过程中会有 2 次重定向的过程,但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透
明的。

另外,CAS 协议中还提供了 Proxy (代理)模式,以适应更加高级、复杂的应用场景,具体介绍可以参考 CAS 官方网站上的相关文档。 [1]

1.1 console-custom-core-imp工程的pom文件里加入引用

<dependency>
    <groupId>org.jasig.cas.client</groupId>
    <artifactId>cas-client-core</artifactId>
    <version>3.5.0</version>
</dependency>

2.1 java代码编写

2.1.1 工程中增加添加url验证策略对象SimpleUrlPatternMatcher

import org.jasig.cas.client.authentication.UrlPatternMatcherStrategy;
import java.util.regex.Pattern;

public class SimpleUrlPatternMatcher implements UrlPatternMatcherStrategy {
    private Pattern pattern;
    @Override
    public boolean matches(String s) {
        return this.pattern.matcher(s).find();
    }
    @Override
    public void setPattern(String s) {
        this.pattern = Pattern.compile(s);
    }
}

2.1.2 添加客户端配置对象

import org.jasig.cas.client.authentication.AuthenticationFilter;
import org.jasig.cas.client.session.SingleSignOutFilter;
import org.jasig.cas.client.session.SingleSignOutHttpSessionListener;
import org.jasig.cas.client.util.HttpServletRequestWrapperFilter;
import org.jasig.cas.client.validation.Cas30ProxyReceivingTicketValidationFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.boot.web.servlet.ServletListenerRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;
import java.util.Map;
@Configuration
public class CasClientConfig {
    //cas服务前缀
    private static final String CAS_SERVER_URL_PREFIX="https://cas.somcompany.com:8443/cas/";
    //cas服务登录地址
    private static final String CAS_SERVER_LOGIN_URL="https://cas.somcompany.com:8443/cas/login";
    //本机服务的名称
    private static final String SERVER_NAME="http://app.somcompany.com:9099";
    
    //登出过滤器
    @Bean
    public FilterRegistrationBean filterSingleRegistrationBean(){
        System.out.println("----filterSingleRegistrationBean-----");
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        registrationBean.setFilter(new SingleSignOutFilter());
        //拦截所有的url
        registrationBean.addUrlPatterns("/*");
        Map<String,String> init = new HashMap<String,String>();
        init.put("casServerUrlPrefix",CAS_SERVER_URL_PREFIX);
        registrationBean.setInitParameters(init);
        //设置调用顺序
        registrationBean.setOrder(1);
        return registrationBean;
    }
    //验证过滤器
    @Bean
    public FilterRegistrationBean filterValidRegistrationBean(){
        System.out.println("----filterValidRegistrationBean-----");
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        filterRegistrationBean.setFilter(new Cas30ProxyReceivingTicketValidationFilter());
        filterRegistrationBean.addUrlPatterns("/*");
        Map<String,String> init = new HashMap<String,String>();
        init.put("casServerUrlPrefix",CAS_SERVER_URL_PREFIX);
        init.put("serverName",SERVER_NAME);
        //将登录用户信息放入session,默认为true
        init.put("useSession","true");
        filterRegistrationBean.setInitParameters(init);
        filterRegistrationBean.setOrder(1);
        return filterRegistrationBean;
    }
	//认证过滤器
    @Bean
    public FilterRegistrationBean filterAuthenticationRegistrationBean(){
        System.out.println("----filterAuthenticationRegistrationBean-----");
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        filterRegistrationBean.setFilter(new AuthenticationFilter());
        filterRegistrationBean.addUrlPatterns("/*");
        Map<String,String> init = new HashMap<String,String>();
        init.put("casServerLoginUrl",CAS_SERVER_LOGIN_URL);
        init.put("serverName",SERVER_NAME);
        //当前服务退出的方法路径,我这里没写,先注释掉
//        init.put("ignorePattern","");
        //路径匹配策略
        init.put("ignoreUrlPatternType","com.example.demo.config.SimpleUrlPatternMatcher");
        filterRegistrationBean.setInitParameters(init);
        filterRegistrationBean.setOrder(1);
        return filterRegistrationBean;
    }
	
	//包装过滤器
    @Bean
    public FilterRegistrationBean filterWrapperRegistrationBean(){
        System.out.println("----filterWrapperRegistrationBean-----");
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        filterRegistrationBean.setFilter(new HttpServletRequestWrapperFilter());
        filterRegistrationBean.addUrlPatterns("/*");
        filterRegistrationBean.setOrder(1);
        return filterRegistrationBean;
    }
    @Bean
    public ServletListenerRegistrationBean servletListenerRegistrationBean(){
        System.out.println("----servletListenerRegistrationBean-----");
        ServletListenerRegistrationBean servletListenerRegistrationBean = new ServletListenerRegistrationBean();
        servletListenerRegistrationBean.setListener(new SingleSignOutHttpSessionListener());
        servletListenerRegistrationBean.setOrder(1);
        return servletListenerRegistrationBean;
    }
}

2.1.3 添加CAS单点登录处理controller

import org.jasig.cas.client.validation.AssertionImpl;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

@RestController("CASController")
@RequestMapping("/cas")
public class CASController {
    /**
     * 用户登录
     */
    @RequestMapping(value = "/login", method = RequestMethod.GET)
    public void login(HttpServletResponse httpServletResponse, HttpServletRequest request) throws Exception {
        HttpSession session = request.getSession();

        if (session != null && null != session.getAttribute("_const_cas_assertion_")) {
            AssertionImpl assertionImpl = (AssertionImpl)session.getAttribute("_const_cas_assertion_");
            String loginName = assertionImpl.getPrincipal().getName();
            httpServletResponse.sendRedirect(generateSsoAddressHome(loginName));
        }else {
            throw new Exception("未查找到登录信息!");
        }
    }

    /**
     * 单点登录到首页
     * @throws Exception
     */
    static String generateSsoAddressHome(String loginName) throws Exception {
        //此处为单点登录逻辑
        return ssoAddress;
    }
}

2.1.4 放行刚编写的接口的登录验证

application.yml中 yn.login-auth-filter.exclutionsList中增加:

- /cas/login

3.1验证

3.1.1浏览器中输入:

http://app.somecompany.com:9099/console/cas/login

3.1.2会发现浏览器重定向到CAS的登录页:

在这里插入图片描述

3.1.3输入用户名密码登录后会重定向到app页面

图略

greatliuda
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
cas-authentication:设计为用作Express服务器中间件的CAS身份验证库
05-03
Express CAS认证 这是旨在与Express服务器一起使用的CAS身份验证库。 它提供了两个中间件功能来控制对路由的访问: bounce :将未经身份验证的客户端重定向到CAS登录页面,然后返回到请求的页面。 block :完全拒绝访问未经身份验证的客户端,并返回401响应。 它还提供了两个路由端点功能: bounce_redirect :行为与bounce但是一旦客户端通过身份验证,它们将被重定向到提供的returnTo查询参数。 logout :使用Express服务器取消对客户端的身份验证,然后将其重定向到CAS注销页面。 安装 npm install cas-authentication 设置 var CASAuthentication = require ( 'cas-authentication' ) ; var cas = new CASAuthentic
SpringBoot 实现CAS Server统一登录认证
LiuCJ_20000的博客
11-21 2912
CASCentral Authentication Service)中心授权服务,是一个开源项目,目的在于为Web应用系统提供一种可靠的单点登录。​ 在整个认证的流程中的整个流程大概是:首先由CAS Client(我们的客户端应用)发起请求,CAS Client 会重定向到CAS Server进行登录,CAS Server进行账户校验且多个CAS Client 之间可以共享登录的 session ,。​ 从结构上看,CAS 包含两个部分:和。
cas单点登录-自定义登录验证(四)
weixin_42073629的博客
07-28 2149
我们在使用SSO单点登录的时候不只是验证一下用户名和密码是否一致,有时候还需要验证一些别的校验,那么这一张讲一下如何自定义验证器。自定义验证很重要,因为我们后续的很多功能,都是基于自定义验证。 CAS服务器的org.apereo.cas.authentication.AuthenticationManager负责基于提供的凭证信息进行用户认证。与Spring Security很相似,实际的认证委托给了一个或多个实现了org.apereo.cas.authentication.AuthenticationHa
单点登录(01) ------单点登录SSO的介绍和CAS+选型
zy_js的专栏
05-02 558
什么是单点登录(sso) 单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 WEB系统如何实现单点登
聊聊单点登录(SSO)中的CAS认证,看完秒懂!
油墨香^-^的博客
09-19 1222
随着企业的发展,一个大型系统里可能包含 n 多子系统, 用户在操作不同的系统时,需要多次登录,很麻烦,我们需要一种全新的登录方式来实现多系统应用群的登录,这就是单点登录。web 系统 由单系统发展成多系统组成的应用群,复杂性应该由系统内部承担,而不是用户。无论 web 系统内部多么复杂,对用户而言,都是一个统一的整体,也就是说,用户访问 web 系统的整个应用群与访问单个系统一样,登录/注销 只要1次就够了即单点登录,一种对于许多相互关联,但是又是各自独立的软件系统,提供访问控制的方法。
cas(中央认证服务)
随风而逝的博客
10-29 931
CASCentral Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS 是Yale大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。 中文名 中央认证服务器 外文名 Central Authentication Service (CAS) 成...
Central Authentication Service(CAS)
hzcyclone的专栏
03-21 5696
Central Authentication ServiceCAS)之一(note)   CAS作为一个授权服务应用,分为服务器和客户端两个部分,与其相关联的东西也挺多的,我接触到的主要有JDK、Tomcat、SSL、LDAP、SSO、Weblogic。 要成功地使CAS成为其他各种应用的用户的统一认证中心,就要正确的配置好CAS的服务端和客户端,在每一个需要认证的应用里面都要分别配置
Central Authentication Service
の博客
11-22 65
sso-cas实现
【集合】统一身份认证(CAS)和OAuth2的工作流程
热门推荐
tpriwwq的专栏
07-12 2万+
单点登录SSO(Single Sign ON),指在多个应用系统中,只需登录一次,即可在多个应用系统之间共享登录。统一身份认证CASCentral Authentication Service)是SSO的开源实现,利用CAS实现SSO可以很大程度的降低开发和维护的成本。...
CASCentral Authentication Service)是一个开源的认证系统,它主要用于为Web应用程序创建和维护单点登录会话
BLOG域名:programb.blog.csdn.net
12-18 1293
它充当了一个中心认证服务器,负责验证用户的身份,并生成会话令牌,该令牌可以由其他应用程序用于验证用户的身份。这样,用户只需要在一个应用程序中登录,就可以在其他应用程序中无缝地访问,而无需再次输入用户名和密码。CAS还提供了多种认证机制,包括基于令牌的认证、基于密码的认证和多因素认证等。此外,它还支持多种协议,如CAS、OAuth、SAML等,这使得它可以与各种不同的Web应用程序集成。总的来说,CAS是一个功能强大、易于使用的开源认证系统,它可以帮助开发人员构建更安全、更易用的Web应用程序。
CAS单点登录服务端部署包
08-26
CASCentral Authentication Service 的缩写 —— 中央认证服务,一种独立开放指令协议,是 Yale 大学发起的一个企业级开源项目,旨在为 Web 应用系统提供一种可靠的 SSO 解决方案。 CAS 支持以下特性: CAS v1, ...
CAS单点登录demo.rar
11-13
这个资源是一个CASCentral Authentication Service单点登录演示项目,用于展示如何实现基于CAS单点登录系统。CAS是一种常用的身份认证和授权解决方案,适用于分布式系统中的用户身份验证。该演示项目将通过...
Django集成CAS单点登录的方法示例
12-31
CAS 全称集中式认证服务(Central Authentication Service),是实现单点登录(SSO)的一中手段。 CAS 的通讯流程图如下(图片来自Google图库): 对于本文用户可感知的层面,认证过程如下: 前端访问后端登录接口 ...
java-cas单点登录服务端
01-16
CAS(Central Authentication Service)是一款不错的针对 Web 应用的单点登录框架,本文介绍了 CAS 的原理、协议、在 Tomcat 中的配置和使用,研究如何采用 CAS 实现轻量级单点登录解决方案。 CAS 是 Yale 大学发起的...
cas-server-4.0.0
10-24
CASCentral Authentication Service的缩写,中央认证服务,一种独立开放...CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。
Apache Answer 开源问答社区安装体验
人人都懂物联网
04-20 1253
是由 SegmentFault 思否团队打造的一款问答平台软件,后端使用 Go 语言编写,于2022年10月24日(程序员节)正式开源。你可以免费使用 Answer 高效地搭建一个问答社区,并用于产品技术问答、客户支持、用户交流等场景。2023年10月9日,Answer 顺利通过投票,以全票通过的优秀表现正式进入 Apache 软件基金会(ASF)孵化器。10月18日,Answer 项目正式移交到 Apache 软件基金会名下,从此改名为 Apache Answer。
深入理解Java消息中间件-Apache Kafka
u011532237的博客
04-21 1419
Apache Kafka是一个开源的分布式事件流平台,由LinkedIn创建,并于2011年贡献给了Apache软件基金会。它设计用来高效处理实时数据流和大数据,通过发布-订阅的消息系统提供高吞吐量、持久存储、流数据处理等功能。
《HCIP-openEuler实验指导手册》1.4 Apache MPM工作模式调整
xzzteach的博客
04-23 501
查看MPM当前工作模式方法一:方法二:浏览器访问:http://IP:端口/server-status查看是否开启(是否注释)修改MPM工作模式。
原生小程序自定义vantUI中van-collapse手风琴组件的标题
最新发布
文龙刚的博客
04-24 249
【代码】原生小程序自定义vantUI中van-collapse手风琴组件的标题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值