CAS登录流程

最新推荐文章于 2023-07-26 23:29:23 发布
最新推荐文章于 2023-07-26 23:29:23 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: CAS 文章标签: shiro java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35115224/article/details/114372154
版权

  1. 访问 http://localhost/analysis

    请求会被ngixn如下配置拦截

    location /analysis/ {
    root   D:\work\dist;
    index  index.html index.htm;
    try_files $uri $uri/ /analysis/index.html;
    add_header Cache-Control "max-age=0";
    # add_header Cache-Control "no-cache";
}

    最后会定位到 /analysis/index.html

    接着会请求一系列静态资源,也走nginx的该配置

  2. 其中的一个js会首先发起异步调用

    /data-web/user/detail?dataplatformCode=analysis

    image-20210301160533112

    这个时候,会被nginx的如下配置拦截

    location /data-web/ {
    proxy_pass http://localhost:9010;
}

    请求会被ngixn转发到后端,会被后端的认证拦截器拦截

    filterChainDefinitionMap.put("/**", "formAuthenticationRewriteFilter");

    该过滤器父类中有如下方法

    //AccessControlFilter
public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

    //查看当前用户是否是已登录状态
protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
    Subject subject = getSubject(request, response);
    return subject.isAuthenticated();
}

    //不是登录状态则执行下面的方法
onAccessDenied()

    //访问的不是登录的URL的情况下,重定向到对应的登录URL
redirectToLogin(ServletRequest request, ServletResponse response)

    我们重写了redirectToLogin()方法,里面会判断来自哪个平台,然后重定向到对应的平台

    例如我们访问的是user/detail请求头携带的有form参数,就判断出是analysis平台,然后这里重定向到

    http://localhost/cas/login?service=http://localhost/data-web/shiro-cas/analysis

    image-20210301191436301

  3. 输入账号密码进行登录

    • 如果密码错误,那么CAS服务端直接会返回错误界面

      image-20210301213358648

    • 输入正确密码

      登录成功就CAS server就会重定向到之前URL中的service参数

      image-20210301214014086

  4. 后端ticket校验

    访问http://localhost/data-web/shiro-cas/analysis?ticket=ST-43-5KuHFd0qfMrn5EDdK1NH-cas01.example.org 即刚刚登录时携带的service参数,到后端进行ticket校验

    • 当后端接受到该请求,请求都会到达AccessControllerFilterd的onPreHandle()方法,判断现在是否是登录状态(所有请求都会到达这个地方)

      public boolean onPreHandle(ServletRequest request, ServletResponse response, Object mappedValue) throws Exception {
    return isAccessAllowed(request, response, mappedValue) || onAccessDenied(request, response, mappedValue);
}

    • 现在是未登录状态,那么就执行DataWebTicketFilter.java的

      @Override
protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
    return executeLogin(request, response);
}

    • AuthenticatingFilter的executeLogin()

      protected boolean executeLogin(ServletRequest request, ServletResponse response) throws Exception {
    //封装token
    AuthenticationToken token = createToken(request, response);
    if (token == null) {
        String msg = "createToken method implementation returned null. A valid non-null AuthenticationToken " +
            "must be created in order to execute a login attempt.";
        throw new IllegalStateException(msg);
    }
    try {
        Subject subject = getSubject(request, response);
        subject.login(token);
        return onLoginSuccess(token, subject, request, response);
    } catch (AuthenticationException e) {
        return onLoginFailure(token, e, request, response);
    }
}

      封装token

      到DataWebTicketFilter的createToken()

      @Override
protected AuthenticationToken createToken(ServletRequest request, ServletResponse response) throws Exception {
    HttpServletRequest httpRequest = (HttpServletRequest) request;
    String uri = httpRequest.getRequestURI();
    String ticket = httpRequest.getParameter(TICKET_PARAMETER);
    if (uri.contains(DataplatformCodeEnum.USERTAG)) {
        return new DataWebCasToken(ticket, DataplatformCodeEnum.USERTAG);
    } else {
        return new DataWebCasToken(ticket, DataplatformCodeEnum.USERANALYSIS);
    }
}

      最后得到token,这是我们封装的token,里面有ticket和from参数

      image-20210301225701497

      • 校验ticket

        subject.login(token);

        最后会到达我们重写的CasShiroRealm的doGetAuthenticationInfo(),内有如下方法:

        AuthenticationInfo authc = validTicket(token);

        • ticketValidator.validate(ticket, service)

          private AuthenticationInfo validTicket(AuthenticationToken token) throws AuthenticationException {
    //转换为我们自己写的DataWebCasToken,封装了from参数
    DataWebCasToken casToken = (DataWebCasToken) token;
    //校验ticket省略
    TicketValidator ticketValidator = ensureTicketValidator();
    // 根据token来源不同,选择不同的cas server ticket验证路径
    String service;
    if (DataplatformCodeEnum.USERTAG.equals(casToken.getFrom())){
        service = ShiroConfiguration.USERTAG_TICKET_SERVICE;
    }else if (DataplatformCodeEnum.USERANALYSIS.equals(casToken.getFrom())){
        service = ShiroConfiguration.ANALYSIS_TICKET_SERVICE;
    }else {
        service = ShiroConfiguration.DAP_TICKET_SERVICE;
    }
    try {
        // contact CAS server to validate service ticket
        Assertion casAssertion = ticketValidator.validate(ticket,service);
        // get principal, user id and attributes
        AttributePrincipal casPrincipal = casAssertion.getPrincipal();
        String userId = casPrincipal.getName();
        Map<String, Object> attributes = casPrincipal.getAttributes();
        // 设置token的ID
        casToken.setUserId(userId);
		//remberme省略
        // create simple authentication info
        List<Object> principals = CollectionUtils.asList(userId, attributes);
        PrincipalCollection principalCollection = new SimplePrincipalCollection(principals, getName());
        return new SimpleAuthenticationInfo(principalCollection, ticket);
    } catch (TicketValidationException e) {
        throw new CasAuthenticationException("Unable to validate ticket [" + ticket + "]", e);
    }
}

          • validate(ticket,service);

            //ticket:  ST-3-ZzB45QmLdgYCSmlAsfrR-cas01.example.org
//service: http://localhost/data-web/shiro-cas/analysis
public Assertion validate(final String ticket, final String service) throws TicketValidationException {
    //这里通过service构造出了CAS Server的校验URL(casServerUrlPrefix)
    //validationUrl: http://localhost/cas/serviceValidate?ticket=ST-4-G2ZgSKO1RRB6PNmjdCx9-cas01.example.org&service=http%3A%2F%2Flocalhost%2Fdata-web%2Fshiro-cas%2Fanalysis
    final String validationUrl = constructValidationUrl(ticket, service);
	//...
    try {
        log.debug("Retrieving response from server.");
        //这里发请求进行ticket校验
        final String serverResponse = retrieveResponseFromServer(new URL(validationUrl), ticket);

        if (serverResponse == null) {
            throw new TicketValidationException("The CAS server returned no response.");
        }
        //可以拿到用户的唯一标识
        return parseResponseFromServer(serverResponse);
    } catch (final MalformedURLException e) {
        throw new TicketValidationException(e);
    }
}

            其中Assertion parseResponseFromServer(serverResponse);

            最后得到assertion,里面的principal为用户的唯一标识

            image-20210301233850964

        • new SimpleAuthenticationInfo(principalCollection, ticket)

          image-20210301235441974

        • 执行完doGetAuthenticationInfo的AuthenticationInfo authc = validTicket(token);

        • 接下来是将用户初始化session中:

          //根据唯一标识插入或者获取用户
User sysUser = userService.initSessionUser(account, from);
//将用户存储到session中
SecurityUtils.getSubject().getSession().setAttribute("user", sysUser);

          image-20210302000057561

  5. token校验成功后进行重定向

    protected void issueSuccessRedirect(ServletRequest request, ServletResponse response, String from) throws Exception {
    WebUtils.redirectToSavedRequest(request, response, "/index/" + from);
}

  6. 然后进入EntryController,进行匹配

    @GetMapping(value = "/index/analysis")
public void analysisPage(HttpServletResponse response) throws Exception {
    // /usertag/
    response.sendRedirect(ShiroConfiguration.ANALYSIS_INDEX);
}

@GetMapping(value = "/index/usertag")
public void usertagPage(HttpServletResponse response) throws Exception {
    response.sendRedirect(ShiroConfiguration.USERTAG_INDEX);
}

@GetMapping(value = "/index/dap")
public void dapPage(HttpServletResponse response) throws Exception {
    response.sendRedirect(ShiroConfiguration.DAP_INDEX);
}

  7. 重定向后相当于再次访问 localhost/analysis/,再向后端发起请求通过JsessionID即可被验证为登录状态

大闹天宫不过一场梦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
cas点单登录流程servlet+client
08-16
cas单点登录流程,详细说明了cas sso的解决步骤,版本是3.5的,在我百度文档上也有说明,代码没共享
自定义TokenCAS登录
weixin_30321449的博客
01-25 1081
工作中实际遇到的需求,我们有一个旧系统,用了CAS的单点登录,现在有一个外部系统,准备从它那里单点进来,这个外部系统提供了一个token参数来标记这是哪一个用户,我们用他们提供的方式解析出对应的用户,以这个用户从CAS登录进系统。 有关CAS登录的分析网上多如牛毛,这里不准备多作分析了,直接上解决过程。 这里实现是基于我们以前系统的,是CAS 3.5.2 首先在登录流程文件login-w...
别点了!CAS登录对接,这个Bug让你反复登录
weixin_67553250的博客
05-12 2037
你是否曾经在登录一个网站时,不断输入账号密码,却发现自己总是无法成功登录?或者你是否曾经遇到过跨域问题导致的登录失败? 今天我要和大家分享的就是CAS登录对接中的一个意想不到的Bug,让你不断试错,反复登录。别急着点登录按钮,先来看看这个Bug是怎么出现的吧!
第三部分:shiro集成spring使用cas单点登录配置
热门推荐
zh350229319的专栏
01-13 1万+
第三部分 shiro集成spring使用cas单点登录配置(一)shiro单点登录  配置的主要目的在于将登录页面改为${cas.server}?service=${cas.client}/login的形式,service后面为本地的回调地址。在cas服务器端登录成功后,会生成ticket返回给客户端,客户端的shiro使用ticket最为凭据保存起来。      shiro配置单点登陆后,在注
CAS单点登录(SSO)完整教程
从程序到业务的心路历程
02-07 1038
1:创建密匙(tomcat.keystore)在c盘目录下,密码为:123456 keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA -validity 36500 -alias sso.castest.com -keystore c:/tomcat.keystore -dname "CN=sso.castest.c
CAS单点登录开源框架解读(三)--CAS单点登录服务端认证之loginFlowRegistry流程
joeljx的专栏
03-29 2901
如何进入loginFlowRegistry流程 1、如何从”/”变为”/login” 在4.2.6源码包中的cas-server-webapp工程下,webapp\WEB-INF\目录下有个web.xml文件,其中有如下的配置。 *web.xml:* <welcome-file-list> <welcome-file>index.jsp</welc...
多系统使用CAS实现SSO登录案例
weixin_42469135的博客
07-26 1748
实现SSO有很多种方案,比较简单且可行的一般都是如上两种再加上CAS,一般企业内部多个系统之间如果想实现SSO,比较推荐的方式就是今天要介绍的CAS,Central Authentication Service,中央身份认证服务。CAS Server,作为认证服务的中心,需要单独部署;CAS Client,指需要单点登录的各个系统,官方支持10+类型的客户端;如下是一个多系统完整进行CAS SSO的流程:SSO登录流程
值得一看:CAS登录流程.doc
07-03
本文档详细介绍了cas单点登录流程和相关参数的转移过程
CAS登录流程示意图
12-07
CAS登录示意,描述SpringMVC登录工作流中的各种接口及其具体的实现方式。。
cas核心流程
07-04
cas核心业务流程图,cas核心业务流程图,cas核心业务流程
nginx集成cas登录
最新发布
11-16
目前此脚本的技术架构为nginx+lua,实现的是casclient方式,其中功能包括sso登录拦截,查询用户信息以及用户登出功能。 文章也帮助简单普及了一下cas的多种登录方式以及部分画图说明。... 熟悉cas登录流程
测试cas,转发获取token
伍特的博客
11-16 1405
1.需要引入jquery 2.通过后台转发cas access-token 3.restful 风格,cas登录方法的解决方式。 &lt;!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" " http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"&gt; &lt;ht...
CAS的单点登录和oauth2的最大区别
weixin_34407348的博客
10-11 873
CAS的单点登录时保障客户端的用户资源的安全 oauth2则是保障服务端的用户资源的安全   CAS客户端要获取的最终信息是,这个用户到底有没有权限访问我(CAS客户端)的资源。 oauth2获取的最终信息是,我(oauth2服务提供方)的用户的资源到底能不能让你(oauth2的客户端)访问   CAS的单点登录,资源都在客户端这边,不在CAS的服务器那一方。 用户在给CAS服务端提...
CAS单点登录
一位打工仔的博客
06-01 6791
CAS是Central Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS 是 耶鲁大学(Yale University)发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。
CAS cas单点登入和认证流程
guohao_Kwok的博客
04-30 1513
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> ...
cas4.2.7实现单点登陆
weixin_44151627的博客
12-06 256
cas4.2.7实现单点登陆 一、搭建cas服务 下载cas-overlay 项目导入编译器,pom.xml 引入 cas-server-webapp jar (版本请根据你项目实际情况)将项目目录etc下的文件cas.properties 文件复制到项目的WEB-INF目录下 在target 目录下找到文件 spring-configuration,unused-spring-configur...
SSO - 单点登录原理 - CAS流程详解
BigManing的博客
12-11 766
文章目录CAS的详细登录流程1、第一次访问www.qiandu.com标号1标号2标号3标号4标号5标号6标号7标号8标号9标号102、第二次访问www.qiandu.com标号123、访问mail.qiandu.com标号13标号14标号15标号16标号17标号18标号19标号20 CAS的详细登录流程 上图是3个登录场景,分别为:第一次访问www.qiandu.com、第二次访问、以及登录状态下第一次访问mail.qiandu.com。 下面就详细说明上图中每个数字标号做了什么,以及相关的请求内容,响
cas登录传递的参数_CASFilter参数和传递登录用户名
weixin_39669075的博客
12-29 1100
CASFilter 必需的参数:edu.yale.its.tp.cas.client.filter.loginUrl 指定 CAS 提供登录页面的 URLedu.yale.its.tp.cas.client.filter.validateUrl 指定 CAS 提供 service ticket 或 proxy ticket 验证服务的 URLedu.yale.its.tp.cas.client...
CAS单点登录返回除ticket之外的其他参数
daoningxinchen的博客
09-04 2331
CAS单点登录返回除ticket之外的其他参数欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与...
cas单点登录流程
09-01
CAS单点登录流程图如下: 1. 用户访问客户端应用程序。 2. 客户端应用程序将用户重定向到CAS服务器以进行认证。 3. 用户在CAS服务器上输入用户名和密码进行认证。 4. CAS服务器验证用户的凭据,并生成一个票据(ticket)。 5. CAS服务器将票据返回给客户端应用程序。 6. 客户端应用程序将票据发送给CAS服务器进行票据验证。 7. CAS服务器验证票据的有效性,并返回一个身份验证成功的响应。 8. 客户端应用程序接受验证成功的响应,并将用户登录到应用程序。 9. 用户可以在应用程序中访问受保护的资源。 这个流程确保了用户只需要在CAS服务器上进行一次认证,然后就可以在多个客户端应用程序中访问受保护的资源,实现了单点登录的功能。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [CAS单点登录原理](https://blog.csdn.net/weixin_43911286/article/details/114333711)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [Django集成CAS单点登录的方法示例](https://download.csdn.net/download/weixin_38702931/13993492)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值