本文介绍了如何使用CAS协议在前后端分离的场景下实现单点登录,包括重定向问题、安全问题的处理,以及服务端和客户端的代码实现。通过自定义认证服务,解决了传统SSO在现代Web应用中的适配问题。
前言
SSO(Single Sing On)单点登录是一种架构,一种思想。
CAS(Center Authentication Server)中心授权服务 是一个开源的协议,是SSO的一种具体的实现。当然SSO还有其他的实现,比如Cookier同域名的场景。
Auth是一种授权协议,不涉及具体代码,只是表示一种约定的流程和规范。Oauth协议一般是用于用户决定是把自己在某个服务上的资源(头像、照片等资源)授权给第三方应用。此外,Oauth2.0协议是Oauth协议的升级版,现在已经逐渐成为单点登录(SSO)和用户授权的标准。
Oauth2.0也可以使实现SSO,但是和CAS的方式还是有一定的区别。
- 保护重点:CAS是重点保障客户端的用户资源安全,Oauth2则是保障服务端用户资源的安全。
- 使用场景:Oauth2.0解决的是不同公司不同产品之间的实现登录的一种简单授权方式。CAS通常处理同一个公司的不同应用间的应用访问登录问题。如企业有多个子系统,只需要登录一个系统,就可以实现不同系统之间的跳转,避免重复登录问题。
下面看看CAS的认证流程图
摘录自CAS官方文档(CAS文档)[https://apereo.github.io/cas/6.2.x/protocol/CAS-Protocol.html]
各位认真了阅读一下上面的流程图,我相信一定已经将CAS的流程了然于胸了,不过在下还是会用几句话简单的描述一下。
- 浏览器发起请求到后端服务,后端服务判断当前用户是否登录
- 如果没有登录过,带上cookie(TGC)重定向到中央认证服务器
- 如果在中央认证服务器中根据TGC的值,获取到了对应的Session数据,说明当前用户已经登录过,生成一个ST重定向回到浏览器开始请求的URL地址
- 反之展示登录页面,让用户输入用户名和密码后提交登录,如果用户名和密码正确,缓存Session信息后生成一个TGC ,同时生成一个ticket票据ST,重定向回到浏览器开始请求的URL地址
- 如果登录过了,生成一个ST重定向回到浏览器开始请求的URL地址
- 如果没有登录过,带上cookie(TGC)重定向到中央认证服务器
在下的遇到的问题
目前我们公司有许多的产品,这些产品都有一套记录的用户管理系统。导致平台用户去使用各个产品的时候,需要在不同的子系统之间进行登录交互,用户反馈操作不够友好。所以公司需要实现单点登录功能。同时需要兼容原有子系统的授权、鉴权流程,也就是说单点登录服务值提供认证服务即可。
在互联网上查找了很多关于这方面的资料。无外乎两种声音,Oauth2.0和CAS,而且绝大多数都是在介绍在单体应用的情况下如何实现,很少有资料介绍如何在前后端分离的情况下介绍的很清楚(当然也可能是在下愚昧,不能理解罢了),而且在Spring项目中,基于Spring security Oauth2.0实现,在关于如何线程现有子系统的授权流程的时候,显得非常的笨重不够灵活。所以在和领导商量下,决定基于CAS和Oauth2.0的思想自己开发一套认证服务。
前后端分离场景
重定向问题
在前后端分离的场景里面,遇到的一大问题就是重定向的问题。前端请求通过ajax的方式请求后端服务,这时候是不能由后端服务直接重定向到认证服务器的,只能返回对应的json数据,提示前端自己去重定向到中央认证服务器。
安全问题
浏览器端需要能够直接访问中央认证服务器,那么为了限制部分浏览器端能访问,部分不能访问。我们需要设置两个参数clientId(表明客户端是谁)和secrect(密钥),在浏览器重定向到认证服务器的时候需要带上这两个参数,用户认证服务器判定当前浏览器客户端是否可以接入单点登录。
流程设计
在下目前实现的也只是一个基本可使用版,只是分享出来供各位参考。其中还存在种种的细节问题,欢迎评论留言交流
代码实现
服务端
AuthEndpoint.java
package com.pkit;
import cn.hutool.core.util.IdUtil;
import cn.hutool.core.util.StrUtil;
import cn.hutool.json.JSONUtil;
import com.pkit.service.ISsoClientConfigService;
import com.pkit.service.IUserService;
import com.pkit.vo.SsoUserVO;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;
import java.util.Objects;
import java.util.concurrent.TimeUnit;
/**
* 认证相关的端点
*
* @author zhuxy zhuxy@pukkasoft.cn
* @date 2021-08-26 11:05
*/
@Controller
@RequestMapping("/pkit")
public class AuthEndpoint {
private final static String TGC = "CASTGC";
private final static String TGC_REDIS_PREFIX = "CASTGC-";
private final static <
最低0.47元/天 解锁文章
扫一扫
1082
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
