CAS单点登录开源框架解读(十)--CAS单点登录客户端认证之客户端接收服务端认证信息

最新推荐文章于 2024-05-24 17:37:29 发布
最新推荐文章于 2024-05-24 17:37:29 发布
阅读量1k 收藏 3
点赞数
分类专栏: CAS单点登录 文章标签: CAS 单点登录 源码 解读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/joeljx/article/details/89077150
版权

客户端如何接收服务端认证信息

上一章节我们分析了CAS服务端是如何产生认证信息的,那么这一章节我们将解析客户端是如何接收服务端的认证信息。这里所说的客户端指的是接入CAS单点登录系统的应用,是一个独立的应用。客户端的源码分析都是基于CAS服务端提供的集成包cas-client-core。

1. 返回到CommonUtils.getResponseFromServer()

在我们分析客户端如何接收服务端认证信息时,可以回头去看看第八章节我们所分析到的最终其实是通过后端发起http请求获取到cas服务端的数据。那么我们回到这里继续分析客户端是如何解析服务端的认证信息。

*CommonUtils.java*

public final class CommonUtils {
public static String getResponseFromServer(final URL constructedUrl, final HttpURLConnectionFactory factory,
            final String encoding) {

        HttpURLConnection conn = null;
        InputStreamReader in = null;
        try {
            //创建http请求链接
            conn = factory.buildHttpURLConnection(constructedUrl.openConnection());
            //获取响应流
            if (CommonUtils.isEmpty(encoding)) {
                in = new InputStreamReader(conn.getInputStream());
            } else {
                in = new InputStreamReader(conn.getInputStream(), encoding);
            }

            final StringBuilder builder = new StringBuilder(255);
            int byteRead;
            //从流中获取数据
            while ((byteRead = in.read()) != -1) {
                builder.append((char) byteRead);
            }
            //返回响应结果
            return builder.toString();
        } catch (final Exception e) {
            LOGGER.error(e.getMessage(), e);
            throw new RuntimeException(e);
        } finally {
            closeQuietly(in);
            if (conn != null) {
                conn.disconnect();
            }
        }
    }
}

in为从CAS单点登录服务端返回的结果(见上一章节),返回xml用户认证信息。

2. 返回到retrieveResponseFromServer()

这里其实只是一个抽象类的调用,返回结果同上一小节xml用户认证信息是一样的。最后还是要看后续的结果是如何解析。

AbstractCasProtocolUrlBasedTicketValidator.java

public abstract class AbstractCasProtocolUrlBasedTicketValidator extends AbstractUrlBasedTicketValidator {

protected final String retrieveResponseFromServer(final URL validationUrl, final String ticket) {
        return CommonUtils.getResponseFromServer(validationUrl, getURLConnectionFactory(), getEncoding());
}
}

3. 返回到ticketValidator.validate()

*AbstractUrlBasedTicketValidator.java*

public abstract class AbstractUrlBasedTicketValidator implements TicketValidator {
   …………
   public final Assertion validate(final String ticket, final String service) throws TicketValidationException {
        //计算需要请求到CAS服务端的url地址(注意这里是普通登录模式,所以校验地址为://serviceValidate)
        final String validationUrl = constructValidationUrl(ticket, service);
        logger.debug("Constructing validation url: {}", validationUrl);

        try {
            logger.debug("Retrieving response from server.");
            //到CAS单点登录服务进行校验,获取返回结果,也就是我们上文一直分析的内容
            final String serverResponse = retrieveResponseFromServer(new URL(validationUrl), ticket);

            if (serverResponse == null) {
                throw new TicketValidationException("The CAS server returned no response.");
            }

            logger.debug("Server response: {}", serverResponse);
            //解析从服务端获取到的信息
            return parseResponseFromServer(serverResponse);
        } catch (final MalformedURLException e) {
            throw new TicketValidationException(e);
        }
}
…………
}

parseResponseFromServer:解析返回值,也就是解析xml格式的响应信息。这是最重要的一点,从响应中解析出对应的数据信息,在上一章节中已经分析了服务端响应的
XML的格式,因此这里就会解析出服务端响应数据的值。

4. 返回到客户端第3个filter

*AbstractTicketValidationFilter.java*

public abstract class AbstractTicketValidationFilter extends AbstractCasFilter {
    public final void doFilter(
            ......
               try {
                //通过ticket和service去校验ticket,并根据服务端响应结果构建assertion用户认证信息
                final Assertion assertion = this.ticketValidator.validate(ticket,
                        constructServiceUrl(request, response));

                logger.debug("Successfully authenticated user: {}", assertion.getPrincipal().getName());

                request.setAttribute(CONST_CAS_ASSERTION, assertion);

                if (this.useSession) {
                    //如果需要使用session,则把获取到的assertion认证信息放入会话
                    request.getSession().setAttribute(CONST_CAS_ASSERTION, assertion);
                }
                onSuccessfulValidation(request, response, assertion);

                if (this.redirectAfterValidation) {
                    //如果需要重定向,认证成功后重定向到客户端的service地址
                    logger.debug("Redirecting after successful ticket validation.");
                    response.sendRedirect(constructServiceUrl(request, response));
                    return;
                }
            } catch (final TicketValidationException e) {
                logger.debug(e.getMessage(), e);

                onFailedValidation(request, response);

                if (this.exceptionOnValidationFailure) {
                    throw new ServletException(e);
                }
				//认证失败响应错误码403到前端
                response.sendError(HttpServletResponse.SC_FORBIDDEN, e.getMessage());

                return;
            }
        }
        filterChain.doFilter(request, response);

}
…… ……
}

此抽象类的功能是将用户认证信息存入request的Attribute和request.getSession(),便于客户端应用获取。设置认证完成后的重定向地址response.sendRedirect(constructServiceUrl(request, response));重定向地址为:http://localhost:8088/cas-client/。

5. 重定向后再次调用第1个filter

重定向后,重新进入我们配置的filters。首先进入第1个filter,因为没有请求退出,没做什么就进入下一个filter。第2个filter,因session里assertion存在,走到下面代码后,进入第3个认证的filter中。

*AuthenticationFilter.java*

public class AuthenticationFilter extends AbstractCasFilter {

  final HttpSession session = request.getSession(false);
        final Assertion assertion = session != null ? (Assertion) session.getAttribute(CONST_CAS_ASSERTION) : null;
        //此时由于在第4节中已经设置了对应的值,因此assertion不为空,进入下一个过滤器
        if (assertion != null) {
            filterChain.doFilter(request, response);
            return;
        }

第3个filter,因为重定向后,此时ticket==null,省略了校验ticket的过程,相当于什么都没做,进入第4个filter。

6. 调用第4个filter

第四个过滤器在客户端的org.jasig.cas.client.util包中。

*HttpServletRequestWrapperFilter.java*

public final class HttpServletRequestWrapperFilter extends AbstractConfigurationFilter {
public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse,
            final FilterChain filterChain) throws IOException, ServletException {
        //从session中获取principal
        final AttributePrincipal principal = retrievePrincipalFromSessionOrRequest(servletRequest);
        //包装request请求
        filterChain.doFilter(new CasHttpServletRequestWrapper((HttpServletRequest) servletRequest, principal),
                servletResponse);
    }

retrievePrincipalFromSessionOrRequest获取Principal,代码如下表:

protected AttributePrincipal retrievePrincipalFromSessionOrRequest(final ServletRequest servletRequest) {
        final HttpServletRequest request = (HttpServletRequest) servletRequest;
        final HttpSession session = request.getSession(false);
        //先判断session是否为空,不为空从session中获取assertion,否则从request中获取
        final Assertion assertion = (Assertion) (session == null ? request
                .getAttribute(AbstractCasFilter.CONST_CAS_ASSERTION) : session
                .getAttribute(AbstractCasFilter.CONST_CAS_ASSERTION));
        //如果assertion认证信息不为空就获取principal
        return assertion == null ? null : assertion.getPrincipal();
    }

简单总结就是从request或session里获取assertion,再从assertion里获取Principal。通过new CasHttpServletRequestWrapper((HttpServletRequest) servletRequest, principal)向request请求中添加principal属性,重新包装servletRequest,用于继续下一个filter。

*HttpServletRequestWrapperFilter.java的内部类*

final class CasHttpServletRequestWrapper extends HttpServletRequestWrapper {

        private final AttributePrincipal principal;

        CasHttpServletRequestWrapper(final HttpServletRequest request, final AttributePrincipal principal) {
            super(request);
            this.principal = principal;
        }

        public Principal getUserPrincipal() {
            return this.principal;
        }

        public String getRemoteUser() {
            return principal != null ? this.principal.getName() : null;
        }

…… ……
}

说白了这里的request请求的warp封装,就是方便客户端应用可以通过getRemoteUser()得到登录用户名。

7. 调用第5个filter

AssertionThreadLocalFilter.java

public final class AssertionThreadLocalFilter implements Filter {

    public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse,
            final FilterChain filterChain) throws IOException, ServletException {
        final HttpServletRequest request = (HttpServletRequest) servletRequest;
        final HttpSession session = request.getSession(false);
        //获取assertion
        final Assertion assertion = (Assertion) (session == null ? request
                .getAttribute(AbstractCasFilter.CONST_CAS_ASSERTION) : session
                .getAttribute(AbstractCasFilter.CONST_CAS_ASSERTION));

        try {
            //将assertion认证信息放入到线程中
            AssertionHolder.setAssertion(assertion);
            filterChain.doFilter(servletRequest, servletResponse);
        } finally {
            AssertionHolder.clear();
        }
    }

    public void destroy() {
        // nothing to do
    }
}

这个过滤器通过代码分析可以看到AssertionHolder.setAssertion(assertion) 将Assertion绑定到本地线程ThreadLocal,那么后面的Fileter和Servlet就可以在本地线程中取得Assertion对象。

8. 获取用户认证信息并展示

最终当所有filter完成过滤后,通过我们自己的测试代码中spring找到“/”的映射。

@Controller
public class IndexController {
  @RequestMapping("/")
  @ResponseBody
  public String index(HttpServletRequest request, HttpServletResponse response) {
	String result = "execute test method</br>";
	result +="request.sessionId: " + request.getSession().getId()+"</br>";
	result +="request.getRemoteUser():" + request.getRemoteUser()	+"</br>";
	result +="request.getUserPrincipal():" + request.getUserPrincipal() +"</br>";
	return result;
}

最终我们在自己的controller中可通过request.getRemoteUser()或者request.getUserPrincipal()获取当前登录认证后的用户信息。当然你要从会话中取对应的认证信息也是可行的。那么我们到此是真正的完成了所以的单独登录认证过程,重新回到了我们客户端应用系统中,那么剩下的就是客户端中的一系列的操作了。

行走的一只鞋
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
实现SSO的CAS开源框架介绍
06-08
CAS (Central Authentication Service)是Yale大学的ITS开发的一套JAVA实现的开源 的SSO(single sign-on)的服务。
单点登录服务端项目cas-server
07-05
单点登录服务端项目cas-server单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-server 单点登录服务端项目cas-...
CAS单点登录(三)——客户端前后端分离接入
热门推荐
Anumbrella
07-07 1万+
最近在工作上遇到CAS前后端分离接入,后端是使用的GO,前端则是Ant Design,通过Restful Api进行数据交互,最后是同域下完成接入,始终感觉不理想,打算仔细研究一下前后端分离接入CAS方案,并进行总结如下。果真问题是学习的好老师,有疑问才能去解决。 前面一些列的文章介绍CAS,具体原理我就住在这里复述了,如果读者还不太熟悉原理,可以去翻翻前面的文章——CAS单点登录(一)——初识S...
单点登录开源框架cas7.0.x学习springboot+gradle+jdk21
最新发布
cccfire的博客
05-24 538
如何基于springboot构建最新版cas源码
Cas单点登录客户端搭建
numbbe的博客
01-11 2157
目录同花顺Web项目1、加入jar包2、配置web.xml文件3、修改客户端过滤器前后端分离项目1、统一前后端、cas-server2、单点登出功能SpringBoot项目1、cas-client-autoconfig2、cas-client-core3、spring-security-cas-client 同花顺 我们自己的客户端集成Cas单点登录,由于我们的系统已有登录功能及安全框架,所以我们要j集成安全框架Cas。 不管是客户端是什么架构,集成Cas的原理都是一样的,利用cas-client中的过滤
Springboot集成CAS客户端
GongWeiBuQi的博客
01-08 3360
1、pom.xml中添加cas-client-core配置 <!-- https://mvnrepository.com/artifact/org.jasig.cas.client/cas-client-core --> <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>cas-client-core</artifactId> &lt
CAS单点登录开源框架解读三)--CAS单点登录代理模式之代理端验证获取用户身份过程
joeljx的专栏
04-19 2230
代理模式访问过程 分两步实现代理过程: 1、用户先访问CAS单点登录代理端(也就是上一章节中客户端1)的地址 url1:http://localhost:8088/cas-client/test,此地址就是用于普通的单点登录。 2、再访问CAS单点登录代理端地址 url2: http://localhost:8088/cas-client/proxyServlet 在上一章节中我们知道在url的...
CAS单点登录原理解析及相关配置
顺其自然~专栏
04-07 4042
基于Cookie的单点登录核心原理:将用户名密码加密之后存于Cookie中,之后访问网站时在中校验用户权限,如果没有权限则从Cookie中取出用户名密码进行登录,让用户从某种意义上觉得只登录了一次。该方式缺点就是多次传送用户名密码,增加被盗风险,以及。同时www.qiandu.com与mail.qiandu.com同时拥有登录逻辑的代码,如果涉及到修改操作,则需要修改两处。
CAS单点登录例子,包含服务端客户端
01-12
CAS(Central Authentication Service)是耶鲁大学开发的一个开源项目,主要功能是实现Web应用的单点登录(Single Sign-On,SSO)。在这个压缩包中,我们有两个关键部分:服务端客户端,它们协同工作,为用户提供...
cas.rar_cas java_cas服务端代码_单点登录
09-14
CAS(Central Authentication Service)是Java开发的一个开源身份验证框架,主要功能是实现单点登录(Single Sign-On,SSO)。单点登录允许用户在访问多个相互信任的应用系统时只需要进行一次登录,提高了用户体验并...
开源多租户IDaas产品-MaxKey 单点登录认证系统 v3.5.6GA官方源代码
09-07
谐音马克思的钥匙寓意是最大钥匙,是业界领先的IAM身份管理和认证产品,支持OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM等标准协议,提供安全、标准和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)...
MaxKey单点登录认证系统-其他
06-11
寓意是最大钥匙,是业界领先的企业级IAM身份管理和身份认证产品,支持OAuth 2.0/OpenID Connect、SAML 2.0、JWT、CAS等标准化的开放协议,提供简单、标准、安全和开放的用户身份管理(IDM)、身份认证(AM)、单点登录...
springboot 接入cas-client-core单点登录
an74520的专栏
12-13 5938
1.maven引入相关包 <dependency> <groupId>net.unicon.cas</groupId> <artifactId>cas-client-autoconfig-support</artifactId> <version>1.4.0-GA</version> </de...
CAS单点登录开源框架解读(八)--CAS单点登录客户端认证客户端服务端发起请求
joeljx的专栏
04-02 1515
客户端是如何向服务端发起请求的 前面客户端部分讲过,客户端的web.xml里配置了五个filter。下文中会使用序号来表示,具体的过滤器名称可以看上一章节。 1. 调用第1个filter 首先进入第一个filter:SingleSignOutFilter,因为现在是进行登录认证,没有登出请求,所以什么都没做,进入下一个filter。 2. 调用第2个filter *AuthenticationFi...
CAS单点登录开源框架解读(二)--环境准备
weixin_42268217的博客
11-01 343
为了解读代码,我们首先需要获取到CAS单点登录源码。 源文件及版本     cas-4.2.6.zip     cas-client-core-3.4.1.jar     spring-webflow-2.4.2.RELEASE.zip     spring-framework-4.2.x.zip ...
CAS单点登录开源框架解读(七)--CAS单点登录客户端认证客户端过滤拦截
joeljx的专栏
04-02 2226
CAS单点登录客户端跳转过程解析,主要针对客户端cas-client-core 用户首次访问CAS单点登录客户端(对应流程图第1步),访问地址:http://localhost:8088/cas-client/ 1. CAS单点登录客户端客户端5个filter拦截 CAS单点登录客户端总共有5个filter,上述url都能匹配上,所以按顺序进入5个filter 。本文客户端分析源码采用cas...
CAS SSO 单点登录框架 学习
chunao7462的博客
02-28 274
1.了解单点登录 SSO 主要特点是: SSO 应用之间使用 Web 协议(如 HTTPS) ,并且只有一个登录入口. SSO 的体系中有下面三种角色: 1) User(多个) 2) Web 应用(多个) 3) SSO 认证中心(一个) 2.SSO 实现包含以下三个原则 ...
应用系统基于CAS实现单点登录的解决方案
01-29 2426
单点登录 (SingleSign-On,SSO) ,是一种帮助用户快捷访问网络中多个站点的安全通信技术。单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录。使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。
cas-client-core单点登录排除不需要拦截的URL
weixin_30752377的博客
09-18 419
  同事提了一个要求,要求对外提供的接口不需要经过单点登录验证,我刚开始想,这简单,提供不需要拦截的url数组,在AuthenticationFilter里面对url进行检查,在此数组内,就不需要拦截。   下面是AuthenticationFilter类的doFilter方法的部分源码: public final void doFilter(final ServletReques...
统一身份认证4.1接入指南:SpringBoot+CAS+Security单点登录
"该文档详细介绍了如何将不同的应用系统接入统一身份认证4.1系统,主要涉及SpringBoot、CAS和Security的集成以实现单点登录功能。文档适用于开发者,旨在解决传统认证机制的问题,实现高效的单点登录体验。" 本文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行走的一只鞋

你的肯定是对我最大赞赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值