【CAS-Server】cas协议票据认证逻辑

最新推荐文章于 2024-08-26 18:21:30 发布
最新推荐文章于 2024-08-26 18:21:30 发布
阅读量2k 收藏 3
点赞数
文章标签: memcached java 服务器 CAS-SERVER
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maoye/article/details/122122544
版权

cas协议票据认证逻辑

Login流程初始化

当客户端发起登录操作请求/login流程时,首先会调用Login流程的初始Action。初始化Action的实现类为InitialFlowSetupAction.在doExecute(requestContext context)方法中回去验证票据。

 @Override
    public Event doExecute(final RequestContext context) {
        configureCookieGenerators(context);
        configureWebflowContext(context);

        configureWebflowForPostParameters(context);
        configureWebflowForCustomFields(context);
        configureWebflowForServices(context);

		/*开始验证票据逻辑*/ 
		// 从cookie中获取TGC,
        String ticketGrantingTicketId = configureWebflowForTicketGrantingTicket(context);
        
        configureWebflowForSsoParticipation(context, ticketGrantingTicketId);
        
        return success();
    }

获取认证信息Authentication

TGT全名应该是Ticket Granting Ticket ,TGT是存储在服务端的,在cas-server中提供了多种存储方案,包括默认内存存储、redismongo,jpa,memcached等。
InitialFlowSetupActionconfigureWebflowForSsoParticipation会去根据TGC获取认证信息Authentication,并把认证信息放入到会话中Session.


    /**
     * Configure the SSO participation in webflow.
     *
     * @param context                the webflow context
     * @param ticketGrantingTicketId the TGT identifier
     */
    protected void configureWebflowForSsoParticipation(final RequestContext context, final String ticketGrantingTicketId) {
       // 获取单点登录请求对象
       SingleSignOnParticipationRequest ssoRequest = SingleSignOnParticipationRequest
        .builder()
        .requestContext(context).build();
        
        // 是否开启单点登录? 暂时还不知道其用意。
        boolean ssoParticipation = renewalStrategy.supports(ssoRequest) 
                                   && renewalStrategy.isParticipating(ssoRequest);
         
         // 如果从cookie中获取到了TGC则回去填充认证信息
        if (!ssoParticipation && StringUtils.isNotBlank(ticketGrantingTicketId)) {
            Authentication auth = this.ticketRegistrySupport.getAuthenticationFrom(ticketGrantingTicketId);
            WebUtils.putExistingSingleSignOnSessionAvailable(context, auth != null);
            // 获取认证信息
            auth = Optional.ofNullable(auth).map(Authentication::getPrincipal).orElse(NullPrincipal.getInstance());
            // 把认证信息放入到session中。
            WebUtils.putExistingSingleSignOnSessionPrincipal(context, auth);
        }
    }

由上可以看出认证信息是从ticketRegistrySupport对象中获取到的。 ticketRegistrySupport对象的具体实现默认是DefaultTicketRegistrySupport.DefaultTicketRegistrySupport中具体的TGT获取由TicketRegistry完成。

    @Override
    public Authentication getAuthenticationFrom(final String ticketGrantingTicketId) {
        if (StringUtils.isBlank(ticketGrantingTicketId)) {
            return null;
        }
        val tgt = getTicketGrantingTicket(ticketGrantingTicketId);
        return Optional.ofNullable(tgt).map(TicketGrantingTicket::getAuthentication).orElse(null);
    }

从上面DefaultTicketRegistrySupport获取Authentication的逻辑可以看出从服务端存储的TGT(TicketGrantingTicket)中可以取到认证信息Authentication.

获取票据TGT

DefaultTicketRegistrySupport调用getTicketGrantingTicket()方法可以获取服务端存储的TGT票据。在该方法中实际是使用TicketRegistry来完成获取的。

    @Override
    public TicketGrantingTicket getTicketGrantingTicket(final String ticketGrantingTicketId) {
        if (StringUtils.isBlank(ticketGrantingTicketId)) {
            return null;
        }
        val tgt = this.ticketRegistry.getTicket(ticketGrantingTicketId, TicketGrantingTicket.class);
        return tgt == null || tgt.isExpired() ? null : tgt;
    }

TicketRegistry是一个接口。主要用来实现TGT的操作。在其下有一个默认的实现抽象类AbstractTicketRegistry。在该抽象类中实现了部分方法的封装。其中getTicket(final String ticketId, final @NonNull Class<T> clazz)方法就在该类中进行实现,(为了后续好描述,该方法别名为:getTicket1)。getTicket1会调用Ticket getTicket(final String ticketId) (别名为:getTicket2)。getTicket2会继续调用Ticket getTicket(String ticketId, Predicate<Ticket> predicate) (别名为:getTicket3).
getTicket1getTicket2默认都由AbstractTicketRegistry实现。而getTicket3由具体的TicketRegistry实现类进行实现。比如将TGT存入redisRedisTicketRegistry实现类。

  • getTicket(final String ticketId, final @NonNull Class<T> clazz)的实现方法体, 该方法主要做了类型校验和转换功能。
    @Override
    public <T extends Ticket> T getTicket(final String ticketId, final @NonNull Class<T> clazz) {
        val ticket = getTicket(ticketId);
        if (ticket == null) {
            return null;
        }
        if (!clazz.isAssignableFrom(ticket.getClass())) {
            throw new ClassCastException("Ticket [" + ticket.getId() + " is of type "
                + ticket.getClass() + " when we were expecting " + clazz);
        }
        return clazz.cast(ticket);
    }
  • Ticket getTicket(final String ticketId)的实现方法体如下,该方法主要做了类型过期校验,删除过期TGT操作。
    @Override
    public Ticket getTicket(final String ticketId) {
        return getTicket(ticketId, ticket -> {
        
            if (ticket != null && ticket.isExpired()) {
            	// 如果过期的话就删除吧。
                deleteSingleTicket(ticketId);
                return false;
            }
            
            return true;
        });
    }
  • getTicket(String ticketId, Predicate<Ticket> predicate)方法由具体的实现类实现,RedisTicketRegistry实现如下:

    @Override
    public Ticket getTicket(final String ticketId, final Predicate<Ticket> predicate) {
        try {
            val redisKey = getTicketRedisKey(encodeTicketId(ticketId));
            val t = this.client.boundValueOps(redisKey).get();
            if (t != null) {
                val result = decodeTicket(t);
                if (predicate.test(result)) {
                    return result;
                }
                return null;
            }
        } catch (final Exception e) {
            LOGGER.error("Failed fetching [{}]", ticketId);
            LoggingUtils.error(LOGGER, e);
        }
        return null;
    }
丑过三八线
关注
使用Apereo Cas 5.1.3的Restful接口实现SSO及TGC分析
cn_yh的专栏
09-13 1万+
使用Apereo Cas 5.1.3的Restful接口实现SSO及TGC分析 关于CAS认证原理,网上已有很多相关文章了,官方文档也有说明,这里就不再详述了。本文重在阐述使用Apereo Cas 5.1.3遇到的与TGC相关的问题,及问题的分析解决过程。
Java编程】-CAS单点登录
路漫漫的博客
04-10 648
CAS-Ticket TGT(Ticket Grangting Ticket) TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过 TGT封装了Cookie值以及此Cookie值对应的用户信息。 用户在CAS认证成功后,CAS生成cookie(叫TGC),写入浏览器,同时生成一个TGT对象,放入自己的缓存,TGT对象的ID就是cookie的值。 当HTTP再次请...
统一身份认证服务(CAS)系统实现SSO认识
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-26 1370
CAS(Central Authentication Service)即中央认证服务,是 Yale 大学发起的一个企业级开源项目,旨在为Web 应用系统提供一种可靠的 SSO 解决方案,它是一个企业级的开源单点认证登录解决方案,采用java语言编写,使用Apache-2.0协议,主要用于为Web应用程序创建和维护单点登录会话。它提供了一个安全可靠的方式来验证用户的身份,并且可以集成到各种Web应用程序中。CAS提供了多种认证机制,包括基于令牌的认证、基于密码的认证和多因素认证等。
CAS 协议 票据、url介绍,包括cas1.0和cas2.0
02-17
CAS协议,包括cas1.0和cas2.0的协议cas 协议分为两部分,一部分是票据-ticket,一部分是url。
CAS单点登录开源框架解读(九)--CAS单点登录客户端认证之服务端验证票据返回认证信息
joeljx的专栏
04-03 5905
服务端如何返回用户认证信息 上一章节中我们已经知道是通过http请求去到CAS服务端获取信息,根据CAS单点登录客户端的请求地址/serviceValidate,我们再CAS单点登录服务端上通过Springmvc根据url里的/serviceValidate,匹配到@RequestMapping(path="/serviceValidate") 1. ticket校验开始:serviceValid...
CAS票据之ST与TGT过期策略详细说明
热门推荐
Java精选
11-16 2万+
CAS的核心就是Ticket中文称之为票据,以及在Ticket之上的一系列逻辑处理操作。CAS的主要包含票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中新增的的票据,目前CAS最新版本已经到了CAS4.0。cas分为服务端和客户端两部分组成,下简单说一说CAS认证过程: 1)用户访问cas-client
cas server + cas client 单点登录 原理介绍
业精于勤荒于嬉;行成于思,毁于随。
08-02 1410
CAS 介绍 CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点: 开源的企业级单点登录解决方案。 CAS Server 为需要独立部署的 Web 应用。 CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括
CAS Ticket票据:TGT、ST、PGT、PT、PGTIOU
jiangbb8686的博客
06-23 1872
CAS的核心就是其Ticket,及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中有的票据。 1、术语解释 ·TGT(Ticket Grangting Ticket) TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后,CAS生成cooki
cas-server-3.4.10-release和cas-client-3.2.1-release两个
04-13
CAS客户端则部署在需要保护的应用服务器上,它负责引导用户到CAS服务器进行认证,接收和验证服务器返回的认证票据,以及实现SSO的逻辑。在这个版本中,客户端可能包含以下组件: 1. **过滤器**:在应用的Web容器中...
cas-server-4.0.0.rar
08-15
- 支持多种认证协议,如CAS、OAuth、OpenID等。 - 提供了RESTful API,便于与其他系统集成。 - 强大的国际化和本地化能力,支持多语言环境。 - 提供了丰富的审计日志功能,便于安全监控。 - 提供了可插拔的认证...
Laravel开发-cas-server
08-27
CAS 是一个开放源码的认证协议,旨在简化Web应用的认证流程,允许用户在一次登录后访问多个相互信任的应用系统,而无需多次输入凭证。在 Laravel 中构建 CAS 服务器,可以极大地提升用户体验和系统安全性。 **...
CAS破解思路
04-29
描述了CAS破解的具体思路,可以帮助用户找到破解CAS的具体办法
cas-server-webapp-4.2.4.war
01-31
成功认证后,CAS服务器会返回一个票据(Ticket),客户端将此票据携带至服务提供商,服务提供商验证票据的有效性,从而允许用户访问。 4. **war文件**:这是一种特殊的ZIP格式,包含了一个完整的Web应用程序的所有...
Laravel开发-cas-server .zip
10-05
5. **CAS 认证逻辑** - 在 CAS 控制器中,使用 `phpCAS::client()` 初始化 CAS 客户端,并设置服务器信息。 - 使用 `phpCAS::checkAuthentication()` 方法检查用户是否已通过 CAS 验证。如果验证成功,可以获取...
CAS Client获取ticket
gy132的专栏
09-18 7578
                因为ticket只有第一次从cas server跳转过来后地址栏携带ticket参数,后被 cas client 去掉了,所以加一个优先级高于CAS filter的 filter 来获取ticket.   &lt;filter&gt; &lt;filter-name&gt;FetchCasTicketFilter&lt;/filter-n...
分析单点登录cas的解决方式
weixin_30415113的博客
08-15 137
1.CAS简介 1.1.What is CASCAS(Central Authentication Service) 是Yale大学发起的一个企业级的、开源的项目,旨在为Web应用系统提供一种可靠的单点登录解决方法(属于Web SSO)。 CAS开始于2001年, 并在2004年12月正式成为JA-SIG的一个项目。 1.2....
CAS统一认证平台
FST_TFS的博客
04-22 1102
CAS统一认证平台 原理 用户首次登录时流程 1)、用户浏览器访问系统A需登录受限资源,此时进行登录检查,发现未登录,然后进行获取票据操作,发现没有票据。 2)、系统A发现该请求需要登录,将请求重定向到认证中心,获取全局票据操作,没有,进行登录。 3)、认证中心呈现登录页面,用户登录,登录成功后,认证中心重定向请求到系统A,并附上认证通过令牌,此时认证中心同时生成了全局票据。 4)、此时再次进行登录检查,发现未登录,然后再次获取票据操作,此时可以获得票据(令牌),系统A与认证中心通信,验证令牌有效,证明用
CAS】整体介绍
Dream it Possible
03-21 2105
一. CAS简介 CAS(Central Authentication Service)是 Yale大学发起的一个企业级的、开源的项目,旨在为 Web 应 用系统提供一种可靠的单点登录解决方法。CAS开始于2001年,并在2004年12月正式成为JA-SIG的一个项目。 二. CAS特性 1) 开源的、多协议的SSO解决方案,CAS ServerCAS Client通信支持多协议,如
cas深入理解
有梦才叫青春
09-01 654
最近进一步学习和研究了单点登录的cas的运行机制,上一篇博客只是从很浅显的层面介绍过单点登录,这篇是小编对CAS有了又一次深入的研究后的总结;        CAS的包括两部分:CAS ServerCAS Client。        CAS Server 负责完成对用户的认证工作,需要独立部署,CAS Server会处理用户名/密码等凭证(Credentials)。        CAS
cas-server-5.2.4下载
10-13
cas-server-5.2.4是一个开源的单点登录服务器。在官方网站或者源代码仓库中,我们可以找到cas-server-5.2.4的下载链接。只需点击该链接,就能开始下载cas-server-5.2.4压缩文件。 cas-server-5.2.4是基于Java语言开发的,因此,在下载cas-server-5.2.4之前,我们需要确保我们的计算机上已经安装了Java运行时环境(JRE)。如果没有安装,我们可以从Oracle官方网站下载并安装最新版本的Java运行时环境。 下载完cas-server-5.2.4压缩文件后,我们需要将其解压缩到本地的一个目录中。解压缩后的cas-server-5.2.4目录包含了cas-server的各种配置文件、库文件和脚本文件。 在解压缩之后,我们可以根据自己的需求对cas-server-5.2.4进行配置。配置文件允许我们定义CAS服务的行为,包括认证方式、认证源、票证策略等。我们还可以根据需要,添加自定义的认证源或扩展现有功能。 最后,我们可以通过命令行或使用集成开发环境(IDE)启动cas-server-5.2.4。在启动时,cas-server会加载配置文件,并开始监听来自客户端的认证请求。 总结来说,要下载cas-server-5.2.4,我们只需要访问官方网站或者源代码仓库的下载链接,确保安装了Java环境,解压缩下载的压缩文件,进行配置,然后启动cas-server即可开始使用单点登录服务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值