基于CAS 实现与容器(Tomcat 或者 JBoss)的SSO

最新推荐文章于 2023-03-13 00:06:28 发布
最新推荐文章于 2023-03-13 00:06:28 发布
阅读量175 收藏
点赞数
分类专栏: 身份管理/验证 文章标签: SSO Tomcat JBoss Security Java
[b]需求描述1[/b]:大家知道J2EE应用程序都可以用类型以下形式进行保护: 
   <login-config>
        <auth-method>FORM</auth-method>
        <form-login-config>
        <form-login-page>/login.jsp</form-login-page>
        <form-error-page>/failure.jsp</form-error-page>
        </form-login-config>
        <realm-name>Security Realm</realm-name>
    </login-config>
    <security-constraint> 
       <display-name>Tomcat security constraint</display-name> 
       <web-resource-collection> 
            <web-resource-name>Protected Resources</web-resource-name> 
            <url-pattern>/security/*</url-pattern> 
      </web-resource-collection> 

      <auth-constraint> 
         <role-name>manager</role-name> 
      </auth-constraint> 
    </security-constraint> 
    <security-role>
        <role-name>manager</role-name>
    </security-role>

而使用CAS实现SSO之后,我们又不想容器保护去掉,该怎么办才能真正把这个CAS验证过的用户和角色传给Tomcat容器,而不至于重新登录,或者出现403错误呢?
[b]需求描述2[/b]: 在有EJB资源的时候,我们通常都会用JAAS来实现保护EJB资源,以限制EJB资源的访问。在调用EJB的时候,需要输入用户名和密码并且此用户具有相应的角色才能调用EJB。而在实现SSO之后,如果真正实现与EJB容器进行SSO呢?

[b]
下面基于Tomcat容器实现需求1.[/b]
1. Tomcat窗口提供了一个叫Valve的接口,还提供一个基本实现ValveBase,我们解决方案就是基于实现一个自己的Valve, 在Valve里把经过CAS验证的用户传给Tomcat。以下就是自定义的Valve: 
package edu.extcas.valve;

import java.io.*;
import java.security.Principal;
import java.util.ArrayList;
import java.util.List;

import javax.servlet.*;
import javax.servlet.http.*;

import org.apache.catalina.Container;
import org.apache.catalina.connector.Request;
import org.apache.catalina.connector.Response;
import org.apache.catalina.realm.GenericPrincipal;
import org.apache.catalina.valves.ValveBase;

//import com.ttg.customagent.jboss.SimplePrincipal;

public class ExtCASValve extends ValveBase {
	public final static String CAS_FILTER_USER = "edu.yale.its.tp.cas.client.filter.user";

	public void setContainer(Container container) {
		super.setContainer(container);
	}

	public void invoke(Request request, Response response) throws IOException,
			ServletException {
		HttpSession session = ((HttpServletRequest) request).getSession();

		if (session != null) {
			String username = (String) session.getAttribute(CAS_FILTER_USER);
			if (null != username) {
				List roleList = getRolesFromUserStore(username);
				Principal principal = new GenericPrincipal(request.getContext()
						.getRealm(), username, "", roleList);
				request.setUserPrincipal(principal);
			}

			//SecurityAssociation类是在登录EJB的时候使用的。
			//SecurityAssociation.setPrincipal(new SimplePrincipal(username.trim()));
			//SecurityAssociation.setCredential("password".trim().toCharArray());

			getNext().invoke(request, response);
			return;
		} else {
			getNext().invoke(request, response);
			return;
		}
	}

  //此方法是为在用户存储里取到相应的角色。自已根据实际情况实现
	private List getRolesFromUserStore(String username) {
		List roleList = new ArrayList();
		roleList.add("admin");
		roleList.add("manager");
		return roleList;
	}

}

2. 实现好自己的Valve,在server.xml里配置一下。然后就可以测试了。


[b]下面讲实现需求2实现的思路:[/b]
1. 如果是EJB容器是JBoss,而Web容器是Tomcat, 也可以在Valve里用SecurityAssociation类(或者其他的方法)把CAS验证过的用户传到EJB容器里。这里同时需要传递密码。
2. 要实现一个LoginModule, 类似以下代码: 
package edu.extcas.loginmodule;

import java.io.IOException;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Map;
import java.util.Set;
import java.security.Principal;
import java.security.cert.X509Certificate;
import javax.security.auth.Subject;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.UnsupportedCallbackException;
import javax.security.auth.login.LoginException;
import javax.security.auth.spi.LoginModule;
import org.apache.catalina.realm.GenericPrincipal;

public class ExtCasLoginModule  implements LoginModule {

    private CallbackHandler callbackHandler;

    private Principal unauthenticatedIdentity;

    private String userName = null;

    private String password = null;

    protected Subject subject;

    protected boolean loginOk;

    protected Principal identity;

    public void initialize(Subject subject, CallbackHandler callbackHandler,
                    Map sharedState, Map options) {
        this.subject = subject;
        this.callbackHandler = callbackHandler;

        try {
            String name = (String) options.get("unauthenticatedIdentity");
            if (name != null) {
                unauthenticatedIdentity = createIdentity(name, "", null);
            }
        }
        catch (Exception e) {

        } 

    }

    public boolean login() throws LoginException {
		loginOk = false;

		if (userName == null && password == null) {
			identity = unauthenticatedIdentity;
		}
		if ((identity == null) && (password != null)) {
			if ("password".equals(password)) {
				identity = createIdentity(userName, "", null);
				loginOk = true;
				return true;
			}
		}

	}

    public boolean abort() throws LoginException {
        subject.getPrincipals().clear();
        return true;
    }

    public boolean logout() throws LoginException {
        Principal identity = getIdentity();
        Set principals = subject.getPrincipals();
        if (principals.contains(identity) == true)
            principals.remove(identity);
        return true;
    }

    private Principal getIdentity() {
        return identity;
    }

    private Principal createIdentity(String username) throws Exception {
		return new CustomPrincipal(username);
	}    

    public boolean commit() throws LoginException {
        if (loginOk == false)
            return false;
        StringBuffer sb = new StringBuffer();

        List roles = getRolesFromUserStore(userName);

        Set principals = subject.getPrincipals();
        if (!principals.contains(identity))
            principals.add(identity);

        Group jbossroles = new SimpleGroup("Roles");      

        for (Iterator i = roles.iterator(); i.hasNext();) {        	
            String roleStr = (String) i.next();
            jbossroles.addMember(new SimplePrincipal(roleStr));
        }

        principals.add(jbossroles);

        return true;
    }

	private List getRolesFromUserStore(String username) {
		List roleList = new ArrayList();
		roleList.add("admin");
		roleList.add("manager");
		return roleList;
	}    
}

这里面最重要的就是commit方法了。由于这是个有点麻烦,只是在产品里的代码改了一下。不保证这个LoginModule能运行正确,不过思路和基本方法都是正确的。
3. 然后在JBoss里的配置使用这个LoginModule, 并且让它来保护EJB资源。这样就可以了。至于怎么设置这个,非常繁琐,这里就不讲了。

[b]重要注意[/b]:这里为了演示,把密码写作“password”, 在实现应用中,用这么简单的密码不合适,这谁都知道。但是是否使用真正的密码,也是要考虑的。如果使用真正的密码,在loginmodule还要验证一次。如果使用一定逻辑来实现密码验证(如使用CAS的Ticket),同时也支持真正密码登录,这样适应性更强,性能也更好。
iteye_8658
关注
专栏目录
单点登录之CAS SSO从入门到精通(第一天)
lifetragedy的专栏
02-14 4万+
啊。。。。。。it's quite a long time。好久没更新博客了,有一年之久了,一直在忙于公司的一些项目。2014年到2015年工作太忙,对于一些经常跟我博客的读者们深深说一声抱歉。同时,也在新的一年将到之际,祝各位新春愉快,羊年洋洋洋。好了,废话少说,开始我们架构师之路的新的历程,SSO-单点登录。什么是单点登录?什么是SSOSSO就是单点登录!!!SSO即Single Sign
单点登录之CAS SSO从入门到精通(第三天)
热门推荐
lifetragedy的专栏
03-09 2万+
各位新年好,上海的新年好冷,冷到我手发抖。上次我们说到了CAS SSO的一些基本用法如:连数据库怎么用,连LDAP怎么用,这次我们要来讲一个网上几乎没有人去过多涉及到的一个问题即:在多租户的环境下我们的cas sso如何去更好的支持,即cas sso multi tentant 的问题,这个问题在很多国外的一些网站包括CAS的官网也很少有人得到解决,在此呢我们把它给彻底的解决掉吧,呵呵。什么是多租
容器附加存储 (CAS) 与软件定义存储 - 选择哪一个?
yuan_minglklk的博客
08-05 407
硬件抽象涉及创建一个编程层,该层允许计算机操作系统在一般而不是详细级别与硬件设备进行交互。该层涉及将硬件用于任何软件程序的逻辑代码实现。对于存储设备,抽象为用户访问共享存储提供了一个统一的接口,对操作系统隐藏了硬件的实现。这允许在用户机器上运行的软件从存储设备获得尽可能高的性能。它还允许独立于设备的程序,因为存储硬件抽象使设备驱动程序能够直接访问每个存储设备。 Kubernetes 本质上与基础设施无关,因为它依赖于插件和卷抽象来将存储硬件与应用程序和服务分离。另一方面,容器是短暂的,当它们终止时会立即丢失
JBoss7.1.1版本和CAS3的集成(未完)
li350328320的专栏
12-02 2413
最近jboss7的发布,可以说给jboss的爱好者很多的惊喜,在7版本中增加了很多之前版本没有的功能,同时7的结构目录也和以往的版本有很大的区别,不过今天的主题不是主要讨论jboss版本之间的差异,而是在jboss7中怎么集成CAS3,并部署成功。         大家都知道,CAStomcat中的部署非常简单,同时在网上也有很多的资料说明,想了解的朋友可以通过网上搜索得到答案,而在jboss
Docker 部署 ApereoCAS 过程记录(采坑集锦)
最新发布
dragondevil1的博客
03-13 1644
docker部署cas服务采坑集锦
docker搭建cas服务 精简版
nimei31的博客
05-09 3367
最近工作中遇到需要对接cas登录,想本地搭建,但是安装java那一套东西太恶心了,于是打算容器化部署一套。看网上各种照抄,我服了,而且介绍不清楚,我特地花点时间记录一下。 我整理了一份docker-compose.yml文件,方便大家使用,直接抄到自己机器up即可 version: "3" services: daemon: image: apereo/cas:v5.0.4 container_name: cas1 # restart: always port
Tomcat 系统架构与设计模式,第 1 部分: 工作原理
火彬的专栏
06-10 1068
这个分为两个部分的系列文章将研究 Apache Tomcat 的系统架构以及其运用的很多经典设计模式。本文是第 1 部分,将主要从 Tomcat 如何分发请求、如何处理多用户同时请求,还有它的多级容器是如何协调工作的角度来分析 Tomcat 的工作原理,这也是一个 Web 服务器首要解决的关键问题。
基于Java EE的单点登录技术研究与实现.zip
10-16
基于Java EE的SSO技术研究与实现Java企业级开发中的一项重要技术,它极大地提高了用户体验,同时也简化了企业级应用的管理。 首先,要理解SSO的工作原理。SSO的核心是中央认证服务(Central Authentication ...
CAS-Server-Client单点登录demo
06-16
CAS(Central Authentication Service)是基于Java的开源身份验证框架,用于实现单一登录(Single Sign-On,简称SSO)。SSO允许用户通过一次登录过程访问多个应用系统,无需为每个系统分别进行认证。在这个"CAS-...
集成框架中使用CAS实现单点登录技术方案.pdf
10-08
- 支持的应用服务器包括JBoss和Apache Tomcat。 - CASJava客户端过滤器是edu.yale.its.tp.cas.client.filter.CASFilter。 ### CAS与其他技术的整合 - CAS能够与多种编程语言和框架整合,如Java, .Net, ISAPI, ...
Tomcat详解(3)---Container 分析
江北望江南的专栏
01-16 3916
3 ContainerBase 的结构 3.1 ContainerBase 的结构   Container 是Tomcat容器的接口,通常使用的Serviet 就封装在其子接口Wrapper 中。Container 一共有4 个子接口Engine 、Host 、Context 、Wrapper 和一个默认实现类ContainerBase,每个子接口都是一个容器,这4 个子容器都有一个对应的
面试:为了进阿里,又把并发CAS(Compare and Swap)实现重新精读一遍
Ccww_的博客
08-30 706
前言 在面试中,并发线程安全提问必然是不会缺少的,那基础的CAS原理也必须了解,这样在面试中才能加分,那来看看面试可能会问那些问题: 什么是乐观锁与悲观锁 什么乐观锁的实现方式-CAS(Compare and Swap),CAS(Compare and Swap)实现原理 在JDK并发包中的使用 CAS的缺陷 1. 什么是乐观锁与悲观锁? 悲观锁 总是假设最坏的情况,每次读取数据的时候都默认其他线程会更改数据,因此需要进行加锁操作,当其他线程想要访问数据时,都需要阻塞挂起。悲观锁的实现: 传统的关.
tomcat-Container容器
小城我家
08-02 421
Container Tomcat有4种容器,分别是Engine,Host,Context,Wrapper,之间是父子关系 public interface Container extends Lifecycle { Container 也继承了Lifecyle生命周期接口, Context 表示一个 Web 应用程序 Wrapper 表示一个Servlet Host表示一个站点 Engine...
蚂蚁花呗 三面题目:红黑树+并发容器+CAS+Solr+分布式+大数据
猎人在吃肉
11-20 1026
蚂蚁花呗一面(一个小时): Java容器有哪些?哪些是同步容器,哪些是并发容器? ArrayList和LinkedList的插入和访问的时间复杂度? java反射原理, 注解原理? 新生代分为几个区?使用什么算法进行垃圾回收?为什么使用这个算法? HashMap在什么情况下会扩容,或者有哪些操作会导致扩容? HashMap push方法的执行过程? HashMap检测到hash冲突后,将元素插入...
docker+cas-overlay集成
傲视苍穹
08-17 2449
KEY STORE生成 DK中keytool常用命令: -genkey 在用户主目录中创建一个默认文件”.keystore”,还会产生一个mykey的别名,mykey中包含用户的公钥、私钥和证书 (在没有指定生成位置的情况下,keystore会存在用户系统默认目录,如:对于window xp系统,会生成在系统的C:\Documents and Settings\UserName\文件名为“.k...
Apereo Cas之Docker
来啊 快活啊
06-15 1万+
发博词Cas基于Docker构建,找到了三种官方的途径。docker hubcas 的docker hub上的地址如下:https://hub.docker.com/r/apereo/cas/ docker pull apereo/cas docker run --name cas -p 8443:8443 -p 8878:8080 apereo/cas /bin/sh /cas-overlay
java.lang.IllegalArgumentException: No enum constant springfox.documentation.service.ParameterType.Q
一路的博客
10-20 8339
java.lang.IllegalArgumentException: No enum constant springfox.documentation.service.ParameterType.QUERY 项目使用springBoot整合swagger时启动报错: java.lang.IllegalArgumentException: No enum constant springfox.documentation.service.ParameterType.REQUEST at java.lang.
Tomcat源码分析(三)Container容器
weixin_34015336的博客
12-19 222
2019独角兽企业重金招聘Python工程师标准>>> ...
tomcat请求处理分析(一) 启动container实例
jack_Zheng的博客
08-18 954
1.1.1  启动container实例 其主要是进行了生命周期中一系列的操作之后调用StandardEngine中的 startInternal方法,不难看出其调用其父类的startInternal方法, 其父类是ContainerBase.java   protected synchronized void startInternal() throws LifecycleExcepti
TomcatJBossWebLogic对比分析及Web容器解析
容器则是这些服务器的核心,负责管理Java组件的生命周期,提供运行环境,以及处理与应用相关的各种服务。 一、Tomcat Tomcat是一款轻量级的Java Web应用服务器,它主要支持Servlet和JSP规范。Tomcat以其开源、免费...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值