cas深度解析:cas 客户端是如何验证serviceTicket(简称st)的?

已于 2022-02-18 17:53:16 修改
阅读量1.1w 收藏 15
点赞数 3
分类专栏: # cas 吾爱开源 文章标签: java http https
于 2020-08-06 18:50:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l714417743/article/details/107846942
版权

今天有同事问子涵先生,cas获取用户数据的时候,是请求了什么接口?额,,,一时语顿……似乎问题没提在点子上。
请求什么接口……明明是客户端远程请求cas Server验证了ticket之后,由cas Server重定向送过来的嘛!当然你也可以理解为请求了什么接口,只是这个接口的参数是ticket和客户端的serviceUrl组成的,对,就是你登录的那个url。想了解更多,请阅读下文吧。

文章目录

一、Cas ticket两种验证方式

本以为cas源码中提供的仅一种方式,于是乎想一探究竟,居然发现了多种。
cas ticke验证方式大体上讲有2个体系:

  • AbstractTicketValidationFilter,基于Filter的ticket的验证;
  • AbstractUrlBasedTicketValidator,基于TicketValidator的验证;

1-1 基于TicketValidator

有几个实现类

  • Cas20ServiceTicketValidator
  • Cas20ProxyTicketValidator
  • 等等

接下来看一下Cas20ServiceTicketValidator类图:

在这里插入图片描述

AbstractUrlBasedTicketValidator中有个validate方法:

    public Assertion validate(final String ticket, final String service) throws TicketValidationException {


        final String validationUrl = constructValidationUrl(ticket, service);
        if (log.isDebugEnabled()) {
            log.debug("Constructing validation url: " + validationUrl);
        }

        try {
        	log.debug("Retrieving response from server.");
            //从后端访问cas Server验证st的有效性
            final String serverResponse = retrieveResponseFromServer(new URL(validationUrl), ticket);

            if (serverResponse == null) {
                throw new TicketValidationException("The CAS server returned no response.");
            }
            
            if (log.isDebugEnabled()) {
            	log.debug("Server response: " + serverResponse);
            }
			//根据服务端的返回信息解析用户数据
            return parseResponseFromServer(serverResponse);
        } catch (final MalformedURLException e) {
            throw new TicketValidationException(e);
        }
    }

org.jasig.cas.client.validation.Cas20ServiceTicketValidator#parseResponseFromServer

    protected final Assertion parseResponseFromServer(final String response) throws TicketValidationException {
        final String error = XmlUtils.getTextForElement(response,
                "authenticationFailure");

        if (CommonUtils.isNotBlank(error)) {
            throw new TicketValidationException(error);
        }

        final String principal = XmlUtils.getTextForElement(response, "user");
        final String proxyGrantingTicketIou = XmlUtils.getTextForElement(response, "proxyGrantingTicket");
        final String proxyGrantingTicket = this.proxyGrantingTicketStorage != null ? this.proxyGrantingTicketStorage.retrieve(proxyGrantingTicketIou) : null;

        if (CommonUtils.isEmpty(principal)) {
            throw new TicketValidationException("No principal was found in the response from the CAS server.");
        }

        final Assertion assertion;
        final Map<String,Object> attributes = extractCustomAttributes(response);
        if (CommonUtils.isNotBlank(proxyGrantingTicket)) {
            final AttributePrincipal attributePrincipal = new AttributePrincipalImpl(principal, attributes, proxyGrantingTicket, this.proxyRetriever);
            assertion = new AssertionImpl(attributePrincipal);
        } else {
            assertion = new AssertionImpl(new AttributePrincipalImpl(principal, attributes));
        }

        customParseResponse(response, assertion);

        return assertion;
    }

1-2 Filter

当时这个项目是基于Filter集成的,在web.xml中配置了ticket验证的Filter。

<filter>
    <filter-name>CAS Validation Filter</filter-name>
    <filter-class>com.xxxx.fuie.filter.Cas20ProxyReceivingTicketValidationFilter</filter-class>
    <init-param>
        <param-name>encoding</param-name>
        <param-value>UTF-8</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>CAS Validation Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

我们参考源码自定义了com.xxxx.fuie.filter.Cas20ProxyReceivingTicketValidationFilter并重新替换了CAS Validation Filter中的class。该class类图如下:

在这里插入图片描述

AbstractTicketValidationFilter负责解析用户数据,并放到session中,此处对于cas登录流程不展开描述了,请自行搜索,或结合server端的源码中的login-webflow进行查看。
com.xxxx.fuie.filter.Cas20ProxyReceivingTicketValidationFilter源码片段如下:

public final void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException {

        if (!preFilter(servletRequest, servletResponse, filterChain)) {
            return;
        }

        final HttpServletRequest request = (HttpServletRequest) servletRequest;
        final HttpServletResponse response = (HttpServletResponse) servletResponse;
        final String ticket = CommonUtils.safeGetParameter(request, getArtifactParameterName());

        if (CommonUtils.isNotBlank(ticket)) {
            if (log.isDebugEnabled()) {
                log.debug("Attempting to validate ticket: " + ticket);
            }

            try {
                final Assertion assertion = this.ticketValidator.validate(ticket, constructServiceUrl(request, response));

                if (log.isDebugEnabled()) {
                    log.debug("Successfully authenticated user: " + assertion.getPrincipal().getName());
                }
				//用户信息放入request
                request.setAttribute(CONST_CAS_ASSERTION, assertion);
				// 用户信息放入session
                if (this.useSession) {
                    request.getSession().setAttribute(CONST_CAS_ASSERTION, assertion);
                }
                onSuccessfulValidation(request, response, assertion);

                if (this.redirectAfterValidation) {
                    log. debug("Redirecting after successful ticket validation.");
                    response.sendRedirect(constructServiceUrl(request, response));
                    return;
                }
            } catch (final TicketValidationException e) {
                response.setStatus(HttpServletResponse.SC_FORBIDDEN);
                log.warn(e, e);

                onFailedValidation(request, response);

                if (this.exceptionOnValidationFailure) {
                    throw new ServletException(e);
                }

                return;
            }
        }

        filterChain.doFilter(request, response);

    }

用户认证完成后,就可以从此次request中获取用户信息:

@Override
    public void handle(String target, HttpServletRequest request, HttpServletResponse response, boolean[] isHandled) {
        this.outTarget = target;
        this.request = request;

        int index = target.lastIndexOf(";jsessionid");

        if (index > -1) {
            outTarget = target.substring(0, index);
        }

        AttributePrincipal principal1 = (AttributePrincipal) request.getUserPrincipal();
        //=======忽略不相干的代码===================
    }

在这里插入图片描述

感谢您的赏读。客官,点赞、留言再走呗~或者留下您的问题我们一起探讨

子涵先生
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 10
    评论
专栏目录
CAS流程简析 客户端处理携带Ticket访问请求
我家有猫已长成的博客
01-30 3774
CAS流程简析 客户端处理携带Ticket访问请求 简介。
CAS单点登录,退出后ticket失效报出异常解决办法—换jar包
05-18
CAS单点登录,退出后ticket失效报出异常解决办法——换jar包 把客户端casclient.jar 包换成我的这个。
cas深度解析cas 客户端是如何验证serviceTicket(简称st
最新发布
2401_84024576的博客
04-09 768
AbstractUrlBasedTicketValidator,基于TicketValidator验证;AbstractTicketValidationFilter,基于Filter的ticket的验证;当时这个项目是基于Filter集成的,在web.xml中配置了ticket验证的Filter。(img-fwNw2mKN-1712628652556)]本以为cas源码中提供的仅一种方式,于是乎想一探究竟,居然发现了多种。//从后端访问cas Server验证st的有效性。
CAS总结之Ticket篇(转,非常详细,后文还提到一个ppt,非常易懂)
热门推荐
燃烧JAVA
07-18 1万+
CAS的核心就是其Ticket,及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、STCAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中有的票据。   一 名词解释 TGT(Ticket Grangting Ticket) TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在
CAS流程简析 服务端校验Ticket
我家有猫已长成的博客
01-30 4425
CAS流程简析 服务端校验Ticket 简介。
CASticket是啥?
wsdchong的博客
11-10 3304
CASticket是啥? 前言 昨天我舍友用Python自动登录遇到了一个问题,问我看我知道session的ticket是啥?然后我(ticket是啥?我上计算机网络的时候咋没听过) 于是今天我了解了一下这个ticket。涨知识。在此之前我只知道登录验证好像是和cookie、session、token相关,ticket还没了解过。 今天看了看相关资料,了解原来ticket是解决多套系统并存的环境下,用户只需要一次登录就可以访问其他授权的系统的一种解决方案。 下面我具体介绍ticket的内容 文章目录CA
java-cas-client:Apereo Java CAS客户端
02-03
Java Apereo CAS客户端介绍这是Java Apereo CAS客户端的官方主页。 客户端由一系列Servlet过滤器组成,这些过滤器适用于大多数基于Java的Web应用程序。 它还用作API平台,以编程方式与CAS服务器进行交互,以进行身份...
connect-cas2:CAS(中央身份验证服务)客户端的NodeJS实现
02-05
用于Express / Connect的CAS客户端中间件的完整实现,支持CAS 2.0+协议。 CAS(中央身份验证服务)是Web的单点登录/单点退出协议。 我们假设您已经熟悉CAS协议,如果不熟悉,请在使用前阅读本。 安装 npm install...
cas4-x509-auth:使用TLS客户端身份验证的最小cas4
05-13
该项目提供了一个简单的作为SSO提供者的示例,并带有其他SSL客户端认证。 CAS是一个了不起的免费开放源代码解决方案,易于使用,文档完善且社区活跃。 另外,不要害怕调试其源代码以更好地理解。 UniconLabs 是我...
phpCAS:Apereo PHP CAS客户端
04-12
phpCAS是一个身份验证库,它允许PHP应用程序通过中央身份验证服务(CAS)服务器轻松地对用户进行身份验证。 请访问Wiki网站以获取更多信息: 可以在以下位置找到Api文档: 执照 Apereo基金会版权所有2007-2020。 ...
CAS的ASP.NET客户端配置及验证
05-04
CAS的ASP.NET客户端配置及验证,实现SSO单点登录
rack-cas:Rack-CAS是用于执行CAS客户端身份验证的简单Rack中间件
02-24
耙任务以修剪过时的会话rack_cas:sessions:prune:active_record和rack_cas:sessions:prune:mongoid要求Ruby> = 2.0 运行中的需要身份验证时状态的应用安装滑轨将 gem 'rack-cas'添加到您的并运行bundle install ...
CAS Client向CAS Server 请求验证ticket的时候,总是收到返回的内容是cas server的登陆页面内容
jfqqqqq的博客
05-20 4763
CAS Client向CAS Server 请求验证ticket的时候,总是收到返回的内容是cas server的登陆页面内容,导致client报错误: No principal was found in the response from the CAS server 当时只是知道问题出在了验证这块,但是具体是因为什么不清楚,点了源码断点看也不是很清晰,在网上看到了一篇文章,发现是因为Va...
CAS登录认证
weixin_45892228的博客
12-06 2193
CAS最基本的协议过程:名词解释Ticket Grangting Ticket(TGT) : TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后,CAS生成cookie(叫TGC),写入浏览器,同时生成一个TGT对象,放入自己的缓存,TGT对象的ID就是cookie的值。当HTTP再次请求到来时,如果传过来的有CAS生成的cookie,则CAS以此cookie值为key查询缓存中有无T
SSO单点登录一:cas单点登录防止登出退出后刷新后退ticket失效报500错,也有退出后直接重新登录报票根验证错误...
ailu19999的博客
11-15 1004
问题1: 我登录了client2,又登录了client3,现在我把client2退出了,在client3里面我F5刷新了一下,结果页面报错: 未能够识别出目标 'ST-41-2VcnVMguCDWJX5zHaaaD-cas01.example.org'票根 问题2:登录了client,然后退出,再重新输入用户名,结果页面也会报错验证 'ST-41-2VcnVMguCDWJX5zHa...
CAS单点登录 - 用户登录与校验
Leon_Jinhai_Sun的博客
10-12 1115
/** * CAS的统一登录接口 * 目的: * 1. 登录后创建用户的全局会话 -> uniqueToken * 2. 创建用户全局门票,用以表示在CAS端是否登录 -> userTicket * 3. 创建用户的临时票据,用于回跳回传 -> tmpTicket */ @PostMapping("/doLogin") public String doLo.
cas 网络回流问题 st验证不通过
qq_36666181的博客
10-09 1770
先看错误信息: java.net.ConnectException: Connection refused (Connection refused)     at java.net.PlainSocketImpl.socketConnect(Native Method)     at java.net.AbstractPlainSocketImpl.doConnect(AbstractPlain...
关于CAS的TGT和Service Ticket的过期策略
为时已晚
05-24 1万+
首先说明一下什么是cas:cas是一套单点登录的框架,利用它可是实现登录一个账号就能访问多个相关系统的功能。它分为客户端Client和服务端Server,只要将开发单点登录的系统集成cas客户端,然后部署好服务端,就可以实现多系统的单点登录。下面说一下cas的认证流程:1)用户访问cas-client,被拦截跳转到cas-server进行登录,输入正确的用户信息2)登录成功后,cas-serve...
springboot 如何调用cas-client-autoconfig-support 解析ticket
03-12
可以使用Spring Security CAS扩展来实现。在pom.xml文件中添加以下依赖项: ``` <dependency> <groupId>org.springframework.security.extensions</groupId> <artifactId>spring-security-cas</artifactId> <version>1.0.7.RELEASE</version> </dependency> ``` 然后在application.properties文件中添加以下配置: ``` # CAS server URL cas.server.url=https://cas.example.com/cas # CAS server login URL cas.server.login.url=https://cas.example.com/cas/login # CAS server logout URL cas.server.logout.url=https://cas.example.com/cas/logout # CAS service URL cas.service.url=http://localhost:8080/login/cas # CAS service name cas.service.name=MyApp # CAS service login URL cas.service.login.url=http://localhost:8080/login # CAS service logout URL cas.service.logout.url=http://localhost:8080/logout # CAS service validate URL cas.service.validate.url=https://cas.example.com/cas/serviceValidate # CAS service ticket parameter name cas.service.ticket.parameterName=ticket # CAS service renew parameter name cas.service.renew.parameterName=renew # CAS service gateway parameter name cas.service.gateway.parameterName=gateway # CAS service artifact parameter name cas.service.artifact.parameterName=artifact # CAS service proxy callback URL cas.service.proxy.callbackUrl=http://localhost:8080/proxyCallback # CAS service proxy callback parameter name cas.service.proxy.callbackParameterName=pgtIou # CAS service proxy granting ticket parameter name cas.service.proxy.grantingTicket.parameterName=pgtIou # CAS service proxy granting ticket storage class cas.service.proxy.grantingTicket.storageClass=org.jasig.cas.client.proxy.ProxyGrantingTicketStorageImpl # CAS service proxy granting ticket storage file cas.service.proxy.grantingTicket.storageFile=/tmp/cas-proxy-granting-tickets # CAS service proxy granting ticket storage clean interval cas.service.proxy.grantingTicket.storageCleanInterval=3600000 # CAS service proxy granting ticket storage clean up cas.service.proxy.grantingTicket.storageCleanUp=true # CAS service proxy granting ticket storage clean up interval cas.service.proxy.grantingTicket.storageCleanUpInterval=3600000 # CAS service proxy granting ticket storage clean up max age cas.service.proxy.grantingTicket.storageCleanUpMaxAge=7200000 ``` 然后在Spring Boot应用程序中添加以下配置类: ``` @Configuration @EnableWebSecurity @EnableCasSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CasAuthenticationEntryPoint casAuthenticationEntryPoint; @Autowired private CasAuthenticationProvider casAuthenticationProvider; @Autowired private SingleSignOutFilter singleSignOutFilter; @Autowired private CasAuthenticationFilter casAuthenticationFilter; @Autowired private CasProperties casProperties; @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .exceptionHandling() .authenticationEntryPoint(casAuthenticationEntryPoint) .and() .logout() .logoutUrl("/logout") .logoutSuccessUrl("/") .addLogoutHandler(new SingleSignOutHandler(casProperties.getServer().getLogoutUrl())) .and() .addFilterBefore(singleSignOutFilter, CasAuthenticationFilter.class) .addFilter(casAuthenticationFilter); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(casAuthenticationProvider); } @Bean public ServiceProperties serviceProperties() { ServiceProperties serviceProperties = new ServiceProperties(); serviceProperties.setService(casProperties.getService().getUrl()); serviceProperties.setSendRenew(false); return serviceProperties; } @Bean public CasAuthenticationEntryPoint casAuthenticationEntryPoint() { CasAuthenticationEntryPoint casAuthenticationEntryPoint = new CasAuthenticationEntryPoint(); casAuthenticationEntryPoint.setLoginUrl(casProperties.getServer().getLoginUrl()); casAuthenticationEntryPoint.setServiceProperties(serviceProperties()); return casAuthenticationEntryPoint; } @Bean public CasAuthenticationProvider casAuthenticationProvider() { CasAuthenticationProvider casAuthenticationProvider = new CasAuthenticationProvider(); casAuthenticationProvider.setAuthenticationUserDetailsService(new UserDetailsServiceImpl()); casAuthenticationProvider.setServiceProperties(serviceProperties()); casAuthenticationProvider.setTicketValidator(new Cas30ServiceTicketValidator(casProperties.getServer().getUrl())); casAuthenticationProvider.setKey("casAuthenticationProviderKey"); return casAuthenticationProvider; } @Bean public SingleSignOutFilter singleSignOutFilter() { SingleSignOutFilter singleSignOutFilter = new SingleSignOutFilter(); singleSignOutFilter.setCasServerUrlPrefix(casProperties.getServer().getUrl()); singleSignOutFilter.setIgnoreInitConfiguration(true); return singleSignOutFilter; } @Bean public CasAuthenticationFilter casAuthenticationFilter() { CasAuthenticationFilter casAuthenticationFilter = new CasAuthenticationFilter(); casAuthenticationFilter.setAuthenticationManager(authenticationManager()); casAuthenticationFilter.setFilterProcessesUrl("/login/cas"); return casAuthenticationFilter; } } ``` 最后,在Spring Boot应用程序中添加以下服务类: ``` @Service public class UserDetailsServiceImpl implements AuthenticationUserDetailsService<CasAssertionAuthenticationToken> { @Override public UserDetails loadUserDetails(CasAssertionAuthenticationToken token) throws UsernameNotFoundException { String username = token.getName(); List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList("ROLE_USER"); return new User(username, "", authorities); } } ``` 现在,您可以使用Spring Boot应用程序调用CAS客户端自动配置支持来解析票据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

子涵先生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值