CAS

最新推荐文章于 2022-10-30 13:50:42 发布
最新推荐文章于 2022-10-30 13:50:42 发布
阅读量94 收藏
点赞数
分类专栏: 其他 文章标签: Security Tomcat Java EJB SSO
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_21162/article/details/82041019
版权

需求描述1:大家知道J2EE应用程序都可以用类型以下形式进行保护: 

Xml代码   收藏代码
  1. <login-config>  
  2.      <auth-method>FORM</auth-method>  
  3.      <form-login-config>  
  4.      <form-login-page>/login.jsp</form-login-page>  
  5.      <form-error-page>/failure.jsp</form-error-page>  
  6.      </form-login-config>  
  7.      <realm-name>Security Realm</realm-name>  
  8.  </login-config>  
  9.  <security-constraint>   
  10.     <display-name>Tomcat security constraint</display-name>   
  11.     <web-resource-collection>   
  12.          <web-resource-name>Protected Resources</web-resource-name>   
  13.          <url-pattern>/security/*</url-pattern>   
  14.    </web-resource-collection>   
  15.   
  16.    <auth-constraint>   
  17.       <role-name>manager</role-name>   
  18.    </auth-constraint>   
  19.  </security-constraint>   
  20.  <security-role>  
  21.      <role-name>manager</role-name>  
  22.  </security-role>  

而使用CAS实现SSO之后,我们又不想容器保护去掉,该怎么办才能真正把这个CAS验证过的用户和角色传给Tomcat容器,而不至于重新登录,或者出现403错误呢? 
需求描述2: 在有EJB资源的时候,我们通常都会用JAAS来实现保护EJB资源,以限制EJB资源的访问。在调用EJB的时候,需要输入用户名和密码并且此用户具有相应的角色才能调用EJB。而在实现SSO之后,如果真正实现与EJB容器进行SSO呢? 


下面基于Tomcat容器实现需求1. 
1. Tomcat窗口提供了一个叫Valve的接口,还提供一个基本实现ValveBase,我们解决方案就是基于实现一个自己的Valve, 在Valve里把经过CAS验证的用户传给Tomcat。以下就是自定义的Valve: 
Java代码   收藏代码
  1. package edu.extcas.valve;  
  2.   
  3. import java.io.*;  
  4. import java.security.Principal;  
  5. import java.util.ArrayList;  
  6. import java.util.List;  
  7.   
  8. import javax.servlet.*;  
  9. import javax.servlet.http.*;  
  10.   
  11. import org.apache.catalina.Container;  
  12. import org.apache.catalina.connector.Request;  
  13. import org.apache.catalina.connector.Response;  
  14. import org.apache.catalina.realm.GenericPrincipal;  
  15. import org.apache.catalina.valves.ValveBase;  
  16.   
  17. //import com.ttg.customagent.jboss.SimplePrincipal;  
  18.   
  19. public class ExtCASValve extends ValveBase {  
  20.     public final static String CAS_FILTER_USER = "edu.yale.its.tp.cas.client.filter.user";  
  21.   
  22.     public void setContainer(Container container) {  
  23.         super.setContainer(container);  
  24.     }  
  25.   
  26.     public void invoke(Request request, Response response) throws IOException,  
  27.             ServletException {  
  28.         HttpSession session = ((HttpServletRequest) request).getSession();  
  29.   
  30.         if (session != null) {  
  31.             String username = (String) session.getAttribute(CAS_FILTER_USER);  
  32.             if (null != username) {  
  33.                 List roleList = getRolesFromUserStore(username);  
  34.                 Principal principal = new GenericPrincipal(request.getContext()  
  35.                         .getRealm(), username, "", roleList);  
  36.                 request.setUserPrincipal(principal);  
  37.             }  
  38.   
  39.             //SecurityAssociation类是在登录EJB的时候使用的。  
  40.             //SecurityAssociation.setPrincipal(new SimplePrincipal(username.trim()));  
  41.             //SecurityAssociation.setCredential("password".trim().toCharArray());  
  42.               
  43.             getNext().invoke(request, response);  
  44.             return;  
  45.         } else {  
  46.             getNext().invoke(request, response);  
  47.             return;  
  48.         }  
  49.     }  
  50.   
  51.   //此方法是为在用户存储里取到相应的角色。自已根据实际情况实现  
  52.     private List getRolesFromUserStore(String username) {  
  53.         List roleList = new ArrayList();  
  54.         roleList.add("admin");  
  55.         roleList.add("manager");  
  56.         return roleList;  
  57.     }  
  58.   
  59. }  

2. 实现好自己的Valve,在server.xml里配置一下。然后就可以测试了。 


下面讲实现需求2实现的思路: 
1. 如果是EJB容器是JBoss,而Web容器是Tomcat, 也可以在Valve里用SecurityAssociation类(或者其他的方法)把CAS验证过的用户传到EJB容器里。这里同时需要传递密码。 
2. 要实现一个LoginModule, 类似以下代码: 
Java代码   收藏代码
  1. package edu.extcas.loginmodule;  
  2.   
  3. import java.io.IOException;  
  4. import java.util.ArrayList;  
  5. import java.util.HashSet;  
  6. import java.util.List;  
  7. import java.util.Map;  
  8. import java.util.Set;  
  9. import java.security.Principal;  
  10. import java.security.cert.X509Certificate;  
  11. import javax.security.auth.Subject;  
  12. import javax.security.auth.callback.Callback;  
  13. import javax.security.auth.callback.CallbackHandler;  
  14. import javax.security.auth.callback.NameCallback;  
  15. import javax.security.auth.callback.PasswordCallback;  
  16. import javax.security.auth.callback.UnsupportedCallbackException;  
  17. import javax.security.auth.login.LoginException;  
  18. import javax.security.auth.spi.LoginModule;  
  19. import org.apache.catalina.realm.GenericPrincipal;  
  20.   
  21. public class ExtCasLoginModule  implements LoginModule {  
  22.   
  23.     private CallbackHandler callbackHandler;  
  24.   
  25.     private Principal unauthenticatedIdentity;  
  26.   
  27.     private String userName = null;  
  28.   
  29.     private String password = null;  
  30.       
  31.     protected Subject subject;  
  32.       
  33.     protected boolean loginOk;  
  34.   
  35.     protected Principal identity;  
iteye_21162
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CAS简述
weixin_50352768的博客
05-28 275
cas
CAS学习
weixin_40161962的博客
10-19 132
CAS是什么? CAS是compare and swap。其代码主要位于juc的atomic包下,是用于实现是用于实现多线程同步的原子指令。 synchronized是悲观锁,这种线程一旦得到锁,其他需要锁的线程就挂起的情况就是悲观锁。 CAS是c语言实现的cpu锁,机制相当于一个乐观锁,每次不加锁而是假设没有冲突而去完成某项操作,如果因为冲突失败就重试,直到成功为止。 原理 juc的atomic...
CAS入门
罗小爬的技术宝书
10-08 1156
参考: https://apereo.github.io/cas/6.3.x/planning/Architecture.html CAS Server 认证用户 授予访问权 颁发&验证tickets SSO session TGT(ticket-granting ticket) ST(service ticket) CAS clients 2层不同的含义 (1)应用 任何支持CAS协议的应用 (2)软件包 即特定编程语言支持的软件包,通过认证协议(如CAS, SAML, OAuth)与CAS S
CAS操作
热门推荐
lmj3732018的博客
07-24 1万+
CAS(Compare And Swap,比较并交换),通常指的是这样一种原子操作:针对一个变量,首先比较它的内存值与某个期望值是否相同,如果相同,就给它赋一个新值。
CAS详解
最新发布
qq_44300280的博客
10-30 2244
1.1 什么是CAS? 1.2 CAS原理 1.3 原子更新引用类 1.4 CAS与自旋锁 1.5 ABA问题
cas
08-07
标题中的“cas”通常指的是中央认证服务(Central Authentication Service),这是一个开源的身份验证和授权框架,主要用在Web应用中,由耶鲁大学开发并维护。CAS遵循单点登录(Single Sign-On, SSO)协议,允许用户...
cas-overlay-template-6.4 服务端代码
01-28
1.CAS-集成mysql 2.CAS-日志审计 3.CAS-连接池配置 4.CAS-自定义错误信息 5.CAS-识别json文件 6.CAS-页面缓存记住我 7.CAS-cookie设置 8.CAS-tgc设置 9.CAS-登出 10.CAS-redisCluster集群存储ticket(相应redis必须...
CAS Protocol 3.0 Specification.docx 官方中文版教程详解
04-29
**CAS协议3.0详解** CAS(Central Authentication Service)是一种网络单点登录(SSO)/单点登出(SLO)协议。它的主要目的是在用户访问多个应用程序时,只需向中央CAS服务器提供一次凭证,如用户名和密码,从而...
Cas
03-15
Cas,全称是Central Authentication Service(中央认证服务),是一个基于Web的开源认证协议,由耶鲁大学开发并维护。在IT行业中,Cas被广泛应用于构建单点登录(Single Sign-On, SSO)系统,允许用户通过一次登录...
Confluence和AD的集成认证
中源
08-15 1429
在GZFB群听Rayman说,要搞Confluence跟AD的集成认证,由于没听清楚,还以为是SSO,立马打开Confluence跟LDAP集成的文档,细看了一把,发现并没有实现域用户到Confluence的SSO,只是Confluence做了一个LdapProvider,能够让用户的认证实现转移到LDAP上。 http://confluence.atlassian.com/display/DOC...
如何扫描局域网内固定ip段的某个端口?
中源
09-18 592
import java.io.*; import java.net.*; import java.util.*; public class SocketPort { public static void main(String[] args) { String ip = "192.168.0.1"; String hostname = new String(); try{ //...
集群LVS+GFS+ISCSI+TOMCAT
中源
08-28 468
作者:hosyp  LVS是中国人发起的项目,真是意外呀!大家可以看http://www.douzhe.com/linuxtips/1665.html   我是从最初的HA(高可用性)开始的,别人的例子是用VMWARE,可以做试验但不能实际应用,我又 没有光纤卡的Share Storage,于是就选用ISCSI,成功后又发现ISCSI+EXT3不能用于LVS,倒最后发 现GFS可用,我最终成功配成...
java并发学习之五:读JSR133笔记(持续更新中)
中源
04-11 402
在写线程池的时候,遇到了很多的问题,特别是happen-before应该怎么去理解,怎么去利用,还有reorder,哪些操作有可能会被reorder?在这一点上,发现其实《concurrent in practice》也没描述得太清晰。 在网上搜了一遍,发现JSR133的faq相对而言,还算稍微解释了一下,发现JSR133其实也就40多页,所以也就顺带看了一遍,因为大部分的内容都比较简单(越往后看...
使用持续集成重新定义构建过程
中源
09-18 313
使用持续集成重新定义构建过程 Jay Flowers 本文讨论: 基本 CI 服务器 启动构建和测试 源代码控制和报告 设置 CI Factory 本文使用了以下技术: MSBuild 代码下载位置: ContinuousIntegration2008_03.exe (168 KB) Browse the Code Online  目录 降低采用成本 入门...
支持开源,分享一个免费SVN服务空间 http://code.svnspot.com
中源
09-18 299
面向全中国的程序员,免费svn服务版本库 支持开源项目及私人项目  http://code.svnspot.com 轻松实现开发团队间的远程协作开发。
Java加密技术(十)
中源
05-08 292
Java 加密技术(九)中,我们使用自签名证书完成了认证。接下来,我们使用第三方CA签名机构完成证书签名。     这里我们使用thawte提供的测试用21天免费ca证书。     1.要在该网站上注明你的域名,这里使用www.zlex.org作为测试用域名(请勿使用该域名作为你的域名地址,该域名受法律保护!请使用其他非注册域名!)。     2.如果域名有效,你会收到邮件要求你访问https:...
WIN XP下将文件夹映射为驱动盘的方法
中源
08-29 281
在网页制作中,当我们站点设置为相对于根目录路径时,如文件在D:\test\下放置,直接双击预览,则网页内的链接都是以D盘为根目录,而不是 test文件夹。那么在本地需要预览必须把IIS指向过来,然后通过localhost或127.0.0.1来访问。当我们需要在多个站点间测试时,每次 更改IIS的指向,太麻烦了。所以,今天给大家介绍一种将文件夹映射为一个盘符的方法: 如把c:\windows 映射为...
如何读取jar包外的jar文件
中源
09-18 247
我用的是webstart实现动态加载功能 这是我的jnlp文件 &lt;?xml version="1.0" encoding="gb2312"?&gt; &lt;jnlp codebase="http://192.168.0.125:8080/dynamic"&gt; &lt;information&gt; &lt;title&gt;动态加载 &lt;/ti
CAS 实现SSO详细指南
"这篇文档详细介绍了如何使用CAS(Central Authentication Service)进行服务器和客户端的部署设计,以实现单点登录(SSO)功能。文档旨在记录利用CAS实施SSO的全过程,适合对SSO感兴趣的读者。文档内容涵盖了CAS的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值