CAS单点登录开源框架解读(十六)--单点登录服务端TGC校验,导致无法获取到tgt,响应401

最新推荐文章于 2022-08-22 11:56:14 发布
置顶 最新推荐文章于 2022-08-22 11:56:14 发布
阅读量6.1k 收藏 7
点赞数 1
分类专栏: CAS单点登录 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joeljx/article/details/104060035
版权

单点登录情况下的现象

在单点登录情况,客户端应用接入CAS服务端后,特别是外网环境会经常出现401的问题,要么直接跳转到登录页面,要么就直接响应401。注意此时CAS服务端的TGT并没有超时。只能排查后端的日志信息,开启debug模式看到了如下的后端异常信息:

 [org.jasig.cas.web.support.TGCCookieRetrievingCookieGenerator] - Invalid cookie. Required remote address does not match XXX.XXX.XXX.XX
java.lang.IllegalStateException: Invalid cookie. Required remote address does not match XXX.XXX.XXX.XX

问题应该很明确,就是产生TGT时候,所使用的客户端IP和再次请求进来时所使用的客户端IP地址不一致导致无法通过校验。客户端浏览器就算有TGC的cookie存在,因为校验报错后也无法再走后续流程,直接到登录页面或者401。

CAS获取cookie中的TGC实现类

有了上面的错误信息,我们可以知道CAS服务端中获取到客户端浏览器中的tgc都是通过TGCCookieRetrievingCookieGenerator来实现的。我们来一起解析一下这个包中所有类相关的功能。(注意本系列所使用的CAS服务端的版本代码)。
类所在的包名为cas-server-webapp-cookie,其中的package中有如下的Java类。

org.jasig.cas.web.support.CookieRetrievingCookieGenerator
org.jasig.cas.web.support.CookieValueManager
org.jasig.cas.web.support.DefaultCasCookieValueManager
org.jasig.cas.web.support.NoOpCookieValueManager
org.jasig.cas.web.support.TGCCookieRetrievingCookieGenerator

主要看TGCCookieRetrievingCookieGenerator和DefaultCasCookieValueManager这两个类中是如何处理的。
CAS服务端的代码中获取cookie时,一般使用的都是默认CookieRetrievingCookieGenerator这个类,然后注入不同的实现

 /** CookieGenerator for the TicketGrantingTickets. */
    @NotNull
    private CookieRetrievingCookieGenerator ticketGrantingTicketCookieGenerator;
/** 注入具体的实现*/
  @Autowired
    public void setTicketGrantingTicketCookieGenerator(
        @Qualifier("ticketGrantingTicketCookieGenerator")
        final CookieRetrievingCookieGenerator ticketGrantingTicketCookieGenerator) {
        this.ticketGrantingTicketCookieGenerator = ticketGrantingTicketCookieGenerator;
    }

解析获取tgc实现类中如何处理客户端信息

知道TGC获取的具体的代码为TGCCookieRetrievingCookieGenerator这个类,进行一下分析

@Component("ticketGrantingTicketCookieGenerator")
public class TGCCookieRetrievingCookieGenerator extends CookieRetrievingCookieGenerator {

    /**
     * Instantiates a new TGC cookie retrieving cookie generator.
     *
     * @param casCookieValueManager the cas cookie value manager
     * 注意构造函数中使用的cookie管理类,这是我们需要重点分析,也是主要用于存取cookie的关键类。
     */
    @Autowired
    public TGCCookieRetrievingCookieGenerator(@Qualifier("defaultCookieValueManager")
        final CookieValueManager casCookieValueManager) {
        super(casCookieValueManager);
    }
	//定义cookie名称
    @Override
    @Autowired
    public void setCookieName(@Value("${tgc.name:TGC}")
                                  final String cookieName) {
        super.setCookieName(cookieName);
    }
	//定义cookie中的路径
    @Override
    @Autowired
    public void setCookiePath(@Value("${tgc.path:}")
                                  final String cookiePath) {
        super.setCookiePath(cookiePath);
    }
	//定义cookie的生命周期
    @Override
    @Autowired
    public void setCookieMaxAge(@Value("${tgc.maxAge:-1}")
                                    final Integer cookieMaxAge) {
        super.setCookieMaxAge(cookieMaxAge);
    }
	//定义cookie是否安全
    @Override
    @Autowired
    public void setCookieSecure(@Value("${tgc.secure:true}")
                                    final boolean cookieSecure) {
        super.setCookieSecure(cookieSecure);
    }
	//定义记住cookie的最大时间
    @Override
    @Autowired
    public void setRememberMeMaxAge(@Value("${tgc.remember.me.maxAge:1209600}")
                                final int max) {
        super.setRememberMeMaxAge(max);
    }

通过TGCCookieRetrievingCookieGenerator的分析我们知道重点还是在cookie的管理类上,那么继续分析一下管理类中是如何实现的。

  @Autowired
    public DefaultCasCookieValueManager(@Qualifier("defaultCookieCipherExecutor")
                                            final CipherExecutor<String, String> cipherExecutor) {
        this.cipherExecutor = cipherExecutor;
        LOGGER.debug("Using cipher [{} to encrypt and decode the cookie",
                this.cipherExecutor.getClass());
    }

    @Override
    public String buildCookieValue(final String givenCookieValue, final HttpServletRequest request) {
        final StringBuilder builder = new StringBuilder(givenCookieValue);

        final String remoteAddr = request.getRemoteAddr();
        if (StringUtils.isBlank(remoteAddr)) {
            throw new IllegalStateException("Request does not specify a remote address");
        }
        //加入用户客户端的IP地址
        builder.append(COOKIE_FIELD_SEPARATOR);
        builder.append(remoteAddr);

        final String userAgent = request.getHeader("user-agent");
        if (StringUtils.isBlank(userAgent)) {
            throw new IllegalStateException("Request does not specify a user-agent");
        }
        //加入用户发起请求时的header头中的user-agent信息
        builder.append(COOKIE_FIELD_SEPARATOR);
        builder.append(userAgent);

        final String res = builder.toString();
        LOGGER.debug("Encoding cookie value [{}]", res);
        //对数据进行加密
        return this.cipherExecutor.encode(res);
    }

    @Override
    public String obtainCookieValue(final Cookie cookie, final HttpServletRequest request) {
    //解密cookie值
        final String cookieValue = this.cipherExecutor.decode(cookie.getValue());
        LOGGER.debug("Decoded cookie value is [{}]", cookieValue);
        if (StringUtils.isBlank(cookieValue)) {
            LOGGER.debug("Retrieved decoded cookie value is blank. Failed to decode cookie [{}]", cookie.getName());
            return null;
        }
		//根据分割符分割cookie值
        final String[] cookieParts = cookieValue.split(String.valueOf(COOKIE_FIELD_SEPARATOR));
        if (cookieParts.length != COOKIE_FIELDS_LENGTH) {
            throw new IllegalStateException("Invalid cookie. Required fields are missing");
        }
        final String value = cookieParts[0];
        final String remoteAddr = cookieParts[1];
        final String userAgent = cookieParts[2];

        if (StringUtils.isBlank(value) || StringUtils.isBlank(remoteAddr)
                || StringUtils.isBlank(userAgent)) {
            throw new IllegalStateException("Invalid cookie. Required fields are empty");
        }
		//校验tgc中产生的客户端IP地址和再次请求的IP地址是否一致
        if (!remoteAddr.equals(request.getRemoteAddr())) {
            throw new IllegalStateException("Invalid cookie. Required remote address does not match "
                    + request.getRemoteAddr());
        }
		//校验tgc中产生的用户请求user-agent和再次发起请求的user-agent的值是否一致
        if (!userAgent.equals(request.getHeader("user-agent"))) {
            throw new IllegalStateException("Invalid cookie. Required user-agent does not match "
                    + request.getHeader("user-agent"));
        }
        return value;
    }

构造函数中使用的是对于写到客户端中的tgc的加密方式,不在这里展开,有兴趣的可自己深入。
看一下buildCookieValue这个方法,我们对响应客户端的cookie中写入了一些什么属性。

builder.append(remoteAddr);用户客户端的IP地址
builder.append(userAgent);用户请求header头中的user-agent属性值

写入这两个信息到tgc的cookie中有什么用呢?看一下obtainCookieValue方法我们就一目了然了。

比较客户端IP地址是否一致
if (!remoteAddr.equals(request.getRemoteAddr())) {
throw new IllegalStateException("Invalid cookie. Required remote address does not match "
+ request.getRemoteAddr());
}

比较客户端请求头中user-agent的值是否一致
if (!userAgent.equals(request.getHeader(“user-agent”))) {
throw new IllegalStateException("Invalid cookie. Required user-agent does not match "
+ request.getHeader(“user-agent”));
}

总结

通过解读代码我们可知,在获取TGC的时候是要进行安全性校验的:客户端IP地址校验和客户端请求头user-agent的值校验。
1、如果在IP地址不固定,甚至是会漂移的情况下,那么在单点登录多系统集成甚至是单系统接入session超时后,都可以发生让你重新登录系统的情况。(简单测试:有限和无线切换之后,保证IP不一样,等待客户端会话超时,但是CAS服务端TGT未超时情况下,这时你就要重新登录。)
2、如果你的请求header头中改变了user-agent的值,那么很不幸,就是你tgt在未超时的情况下,客户端系统在单点登录下也还是要重新登录。

行走的一只鞋
关注
专栏目录
单点登录CAS笔记
shuangmu9768的博客
09-05 1万+
【1】CAS服务端 【2】CAS客户端 【3】CAS5.2x搭建cas服务器 【4】CAS客户端配置 【5】cas接入REST登录认证 【6】通过Cas Proxy访问其它Cas应用 【7】CAS多属性返回 【1】CAS服务端 #配置hosts C:\Windows\System32\drivers\etc #下载地址 https://github.com/apereo/cas/releases #下载源码后,打成war包,并部署在tomcat8。 http://sso.itcast.cn:8088/
单点登录 cas 设置回调地址_一篇文章彻底弄懂CAS实现SSO单点登录原理
weixin_39928844的博客
11-21 794
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达 作者|王松柏来源 | urlify.cn/iIV7Zj1. CAS 简介1.1. What is CASCAS ( Central Authentication Service ) 是 Yale 大学发起的一个企业级的、开源的项目,旨在为 Web 应用系统提供一种可靠的单点登录解决方法(属于 Web SSO )。C...
单点登录TGCTGT、ST解析
热门推荐
qq_39698412的博客
06-27 1万+
TGC:Ticket Granting Cookie CAS 会将生成的 TGT 放在 session 中,而 TGC 就是这个 session 的唯一标识(sessionId),可以认为是 TGT 的key,为 TGT 就是 TGC 的 value,TGCcookie 的形式保存在浏览器中,每个请求都会尝试携带 TGC。(每个服务都会在 session 和 cookie 中保存对应的 TG...
解决cascookie跨域,导致TGC丢失的问题
JL
02-01 3926
TODO
cas以http访问报错401,session丢失
weixin_42240941的博客
10-14 1371
cas以http访问,在cas框架配置层面没有完全改好 登录操作时,返回401,打断点调试,session获取存放的验证码丢失。所以在验证class内出错。 因为没有trycatch,被外层(cas的源码trycatch)捕获异常。返回401 session内没有验证码:具体没搞清楚,思路大概是:https与http不会共享session。 所以页面生成验证码并绑定的session,不是登录去验证时的session。所以获取不到验证码。 ...
CAS代理模式下客户端未得到TGT反馈的解决
xuguohuaBD的博客
07-13 624
根据网上的CAS代理模式实现http请求的转发到另外一个CAS客户端的配置说明,客户端应用未得到TGT,查配置是否有问题,搞了好几天,最后debug了CAS服务端源码,才发现服务端最后的信息输出是通过 \cas3.4.10\WEB-INF\view\jsp\protocol\2.0\casProxySuccessView.jsp实现TGT反馈给客户端应用的; 服务端正常调用了casProx...
单点登陆
ys_565137671的专栏
06-16 3881
1. 单点登录简介1.1CAS简介CAS 是 Yale (耶鲁)大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。http://www.jasig.org/cas CAS 具有以下特点:•基于kerberos身份认证协议技术•开源的企业级单点登录解决方案。 •CAS Server
CAS如何解决单点登录后跨域安全的问题
chals115的专栏
02-01 4735
给客户开发企业门户系统,其中门户使用的是开源门户Liferay6.1。单点登录服务使用的是CAS。 门户使用IFRAME集成了客户原有的所有 Web系统,门户成为所有Web系统的统一入口。在调试CAS时发现,在门户中通过iframe的方式访问其它系统,使用IE总是需要重新登录,其它浏览器没有这个问题。 经过分析发现客户所有的web系统都是使用IP地址访问的方式,也即都是跨域访问。子系统获取lo
CAS单点登录原理及实现
u011975180的博客
04-13 2085
CAS单点登录原理及实现 标签(空格分隔): 单点登录 CAS SSO ###目录 概念介绍 搭建流程 原理分析 ###概念介绍 CAS介绍 Central Authentication Service(缩写CAS)是一种针对万维网的单点登录协议。它的目的是允许一个用户访问多个应用程序,而只需提供一次凭证(如用户名和密码)。它还允许web应用程序在没有获得用户的安全凭据(如密码)的情...
使用spring security 实现CAS单点登录
OneAuth身份云
08-22 1302
每次验证时,CAS Server 会根据 TGT签发一个ST,并把ST拼接在service参数中,同时将相应的TGC设置到用户的cookie中(域为CAS Server),并返回302 状态码,指示浏览器重定向到 service,例如 http://cas.client.com/me?在单点登录系统中,需要定义一个独立的认证中心,只有认证中心才能接受用户的用户名密码等安全信息,而其他系统并不提供登录入口,只接受认证中心的间接授权,间接授权通过令牌实现。,只需要登录一次就可以进入多个系统,而不需要重新登录。
CAS 单点登录简介
王先森007的博客
02-26 599
前一段时间,公司项目因为要与其他项目之间进行集成,弄成一个整体的大项目,因为各个项目都是老项目了,每一个项目都有一个自己的登录过滤机制,这时的需求就变成了只需一次登录,就可以登录进去其他子项目,不用每次访问其他项目都需要登录一次。 这个任务就交给了我这个刚毕业参加工作没多久的身上,说实话,对我来说还是挺难的。后来在网上查各种资料,就选定了用的比较多的成熟框架 CAS 。在实际开发中,也碰到了很...
401做服务器登陆
weixin_30379531的博客
09-04 74
if(!isset($_SERVER['PHP_AUTH_USER'])||!isset($_SERVER['PHP_AUTH_PW'])||$_SERVER['PHP_AUTH_USER']!=ADMIN_USERNAME||$_SERVER['PHP_AUTH_PW']!=ADMIN_PASSWORD){Header("WWW-...
前端获取不到cookie问题
宋大王的博客
03-01 3577
问题描述 在学习shiro+cas单点登录 前后端分离的项目过程中,前台获取不到cookie 看了很多大佬有关nginx配置的问题,后来发现我的问题没有那么复杂 只是cookie domain和path的问题 没有设置cookie的domain和path Cookie[] cookies = request.getCookies(); for (int i = 0;...
TGT超时请求错误处理
weisuochengxuyuan的专栏
10-24 1293
CAS 5.3.x 单点登录实现集群搭建,快速入手(二)!!!!
Qensq的博客
09-07 4206
前言: 该篇教程描述如何搭建CAS5.3.x集群操作,由于官方文档并没有贴出集群搭建方案,所以本博主根据源码剖析解决该问题。 文档并没有深入浅出说明原理,直接贴代码用于快速上手学习。 学习CAS5.x 推荐看 以下两个博主文章 此博主文章:https://blog.csdn.net/u010475041/article/category/7156505 此博主文章:https://blo...
CAS5.3X 之配置RememberMe & Cookie Secure属性影响
Jeffery的博客
06-03 2049
CAS5.3X 之配置RememberMe前言CAS 5.3X 之RememberMe分析实现RememberMe 之 TGC思考:是什么导致TGC没有被写入cookie呢?总结问题原因解决 前言 今儿老大突然说我CAS项目的代码有问题,心态突然很慌,咋滴了又,都运行两年了,现在才出问题? 然后开始了捡起两年前代码的惊叹之路,连连感叹,这我写的啊? 嗯嗯,话不多说。。。 CAS 5.3X 之RememberMe 在前台加入以下代码: <section class="form-check" th
单点登录(SSO)Cookie跨域问题 CAS原理
sciense的博客
04-26 7735
1、回顾单系统登陆 我么知道 Http 是无状态协议,这意味着服务器无法确认用户信息。于是W3C就提出了给每个用户发一个通行证,无论谁访问都要携带通行证,服务器通过通行证确认信息。这个通行证就是Cookie。Session相当于在服务器中简历的一份“客户明细表”。Session 不能依据 Http连接来判断是否为同一个用户,于是服务器向浏览器发送一个Cookie,Session就是依据cookie来识别是否是同一用户。 流程:用户信息保存在 Session中 ===》如果Session中可以查到放行,.
SSO单点登录教程(二)单点登录流程分析
wu1317581750的博客
05-22 995
一、简介 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 二、应用场景 如公司有多个系统,分别OA系统、CRM系统、财务管理系统、设备管理系统等,总不能访问每个系统都要登录一遍吧,用户会疯掉的,应该我们认证一遍,其他系统即可访问。网上很多项目都在使用SS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行走的一只鞋

你的肯定是对我最大赞赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值