企业单点登录解决方案(CAS)之四身份验证

最新推荐文章于 2023-07-05 10:18:26 发布
最新推荐文章于 2023-07-05 10:18:26 发布
阅读量466 收藏 1
点赞数
文章标签: ldap 数据库 python
原文链接:https://my.oschina.net/boreboluomiduo/blog/844534
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

身份验证

CAS认证过程是由几个相关的组件:

PrincipalNameTransformer

转换输入登录的用户id字符串形成了初步的主体名称 由一个特定类型的身份验证处理器验证。

AuthenticationManager

入口点进入认证子系统。 它接受一个或多个身份验证凭证和代表 配置 AuthenticationHandler 组件。 它收集每个尝试的结果,并确定有效 安全策略。

AuthenticationHandler

验证一个证书和报告的三种可能的结果:成功,失败,而不是企图。

PrincipalResolver

身份验证凭证中的信息转换成一般安全主要包含额外的 元数据属性(即用户详细信息,如联系组成员,电子邮件,显示名称)。

AuthenticationMetaDataPopulator

战略成功的身份验证组件设置任意元数据对一个事件,这些都是常用的 设置特定于协议的数据。

除非另外注明,所有身份验证组件的配置是在处理 deployerConfigContext.xml 

身份验证管理器

CAS还附带一个灵活的认证管理器, PolicyBasedAuthenticationManager ,这应该 满足大多数需求。 它根据以下合同执行身份验证。

对于每个给定的凭证做以下:

  1. 遍历所有身份验证配置处理程序。
  2. 试图验证凭证如果处理程序支持它。
  3. 在试图解决一个主要成功。
  4. 检查是否一个解析器配置为处理程序,经过身份验证的凭据。
  5. 如果找到一个合适的解析器,试图解决校长。
  6. 如果没有找到一个合适的解析器,使用主要由身份验证处理程序解决。
  7. 检查是否安全策略(如任何、所有)满意。
  8. 如果安全策略就会立即返回。
  9. 如果不满足安全策略。
  10. 毕竟凭证已经再次尝试检查安全策略,扔 AuthenticationException 如果不满意。

有一个隐含的安全政策,要求至少有一个处理器成功进行身份验证凭据, 但行为可以进一步控制设置 # setAuthenticationPolicy(AuthenticationPolicy) 下列政策之一。

AnyAuthenticationPolicy

满意如果任何处理程序成功。 支持一个 tryAll 国旗,以避免短路在步骤4.1以上,每一个尝试 处理程序之前即使成功了。 这一政策是默认和提供向后兼容的行为 AuthenticationManagerImpl CAS组件3. x。

AllAuthenticationPolicy

满足当且仅当所有凭证成功验证。 支持多种凭证 新在CAS和这个处理程序将只在多因素身份验证的情况下是可以接受的。

RequiredHandlerAuthenticationPolicy

满意的如果一个只有一个指定处理程序成功进行身份验证凭据。 支持一个 tryAll 旗帜 避免短路步骤4.1以上,每一个处理程序,即使之前成功了。 这个政策可以 用于支持多因素身份验证的情况下,例如,用户名/密码身份验证在哪里 但需要一个额外的OTP是可选的。

身份验证处理程序

CAS附带支持身份验证对许多常见类型的身份验证系统。 下面的列表提供了一个完整的列表支持身份验证技术;跳的部分(s) 的兴趣。

有一些额外的小部署和特殊情况处理程序:

默认凭证

在CAS测试默认身份验证方案, 使用 案例 和 梅隆 分别作为用户名和密码。

密码编码

密码编码器期间负责验证事件转换和编码 的证书密码身份验证源是可以接受的一种形式。

默认的编码器

<alias name="defaultPasswordEncoder" alias="passwordEncoder" />

以下设置是适用的:

# cas.authn.password.encoding.char=UTF-8
# cas.authn.password.encoding.alg=SHA-256

纯文本

<alias name="plainTextPasswordEncoder" alias="passwordEncoder" />

参数提取器

提取器负责检查http请求收到等参数描述身份验证请求的请求 服务 等。萃取器存在的支持身份验证协议和每创建适当的实例 WebApplicationService 包含提取的结果。

主要解决

请 见本指南 更多详情主要决议。

主要转换

身份验证处理程序通常处理username-password凭证 可以配置为将用户id之前执行身份验证序列。 可用以下组件:

NoOpPrincipalNameTransformer

默认的变压器,实际上没有转换的用户id。

<alias name="noOpPrincipalNameTransformer" alias="principalNameTransformer" />
PrefixSuffixPrincipalNameTransformer

转换的用户id添加后缀或后缀。

<alias name="prefixSuffixPrincipalNameTransformer" alias="principalNameTransformer" />

以下设置是适用的:

# cas.principal.transform.prefix=
# cas.principal.transform.suffix=
ConvertCasePrincipalNameTransformer

一个变压器,将uid小写或大写形式。 结果也削减了。 变压器也能够接受和处理的结果 前一个变压器可能修改的uid,这样两个可以链接。

<alias name="convertCasePrincipalNameTransformer" alias="principalNameTransformer" />

以下设置是适用的:

# cas.principal.transform.upperCase=false

身份验证元数据

AuthenticationMetaDataPopulator 组件提供一个可插入策略注入任意元数据 身份验证子系统消耗其他子系统或外部组件。 一些著名的元数据的使用 的思想:

  • 支持长期的身份验证功能
  • SAML协议支持
  • OAuth与OpenID协议支持。

默认的身份验证元数据的思想应该是足够的对于大多数部署。 组件的位置 需要支持可选的CAS特性,他们会明确地识别和配置将提供。

长期的验证

CAS支持长期票据授予票,也称为一个特性 “记住我” SSO的长度延伸会话之外的典型配置。 请 见本指南 为更多的细节。

代理身份验证

请 见本指南 为更多的细节。

多因素身份验证(MFA)

请 见本指南 为更多的细节。

登录节流

CAS提供了设备支持密码限制失败的登录尝试猜测和滥用相关的场景。 请 见本指南 更多细节在登录节流。

SSO会话Cookie

票据授予饼干是一个HTTP cookie组上,CAS建立单点登录会话。 这对客户机cookie维护登录状态,虽然它是有效的,客户端可以现在CAS的主要凭证。 请 见本指南 额外的细节。

参考资料:https://apereo.github.io/cas/4.2.x/installation/Configuring-Authentication-Components.html

转载于:https://my.oschina.net/boreboluomiduo/blog/844534

weixin_34354945
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cas4.2.7 实现其他系统和cas互相认证互信
11-26
cas4.2.7 实现其他系统和cas互相认证互信 cas4.2.7 实现其他系统和cas互相认证互信 cas4.2.7 实现其他系统和cas互相认证互信
CAS统一身份认证(四):集成MySQL用户验证
程序员猴小萌的博客
10-08 3079
本文主要介绍CAS统一身份认证服务器的JDBC数据库认证功能,并以FreeBSD环境下的MySQL数据库为例实现了CAS 6.6版的数据库用户验证。主要包括CAS数据库身份认证、MySQL数据库准备、用户验证属性配置文件、配置MySQL数据库支持,最后构建和测试CAS服务。
企业单点登录解决方案(CAS)之三安全指南
weixin_33807284的博客
02-23 530
2019独角兽企业重金招聘Python工程师标准>>> ...
CAS认证——委托认证——OAuth20Client初始化流程
Sucre
08-16 1796
委托认证就是将CAS对接到第三方服务进行认证,但需要三方认证流程符合规范的流程(OAuth、OIDC),CAS已经提供了现成的github、Facebook、QQ等的对接 我们从 Client 初始化流程,来看一下client的内部数据结构和认证流程 先把设计到的类型列一下: OAuth20Client:OAuth20客户端,核心类 Pac4jOAuth20ClientProperties:定义通...
CAS 4.2.x 版本代理认证实现
pitt1997的博客
08-24 1322
CAS 4.2.x 版本代理模式实现 一、CAS代理认证 请参阅本指南了解更多详情。 默认情况下启用对 CAS v1+ 协议的代理身份验证支持,因此利用代理身份验证功能完全是 CAS 客户端配置的问题。 二、什么是CAS的代理认证 举例这样一个场景:有两个服务,分别是【运维服务】和【资源管理服务】,这两个服务都集成了CAS,所有的请求都要经过CAS Server【认证中心】的认证。由于【运维服务】内部会去调用【资源管理服务】,但是【运维服务】的请求会被【资源管理服务】配置的CAS拦截器【Authentica
cas 单点登录 解决方案.
05-28
cas 单点登录解决方案是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。随着企业的发展,业务系统的数量在不断增加,老的系统却...
单点登录解决方案-CAS
08-08
总的来说,CAS作为单点登录解决方案,以其灵活性、安全性及易用性在IT领域得到广泛应用,帮助企业或组织构建高效的身份验证管理体系。了解并掌握CAS的原理和实践,对于提升系统的用户体验和安全管理具有重要意义。
CAS5.3+windows AD域实现单点登录免身份认证.docx
05-17
CAS(Central Authentication Service)是一种流行的开源身份验证系统,旨在提供单点登录(SSO)解决方案。Windows AD(Active Directory)则是微软公司推出的目录服务,用于管理计算机网络中的用户、组和资源。结合...
CAS单点登录demo.rar
最新发布
11-13
CAS是一种常用的身份认证和授权解决方案,适用于分布式系统中的用户身份验证。该演示项目将通过简单而清晰的代码示例,演示CAS单点登录的基本原理、配置步骤以及如何集成CAS客户端到你的应用中。 适用人群: 这个...
SpringBoot+JWT实现单点登录解决方案
07-26
在IT行业中,单点登录(Single Sign-On,简称SSO)是一种常见的身份验证机制,它允许用户在一个系统中登录后,无需再次输入凭证即可访问多个相互信任的系统。本方案结合了SpringBoot框架和JSON Web Token(JWT)技术...
CAS 6.x + Delegated Authentication SAML2.0 配置记录
yy的博客
07-05 388
使用委托认证就是要把认证的行为交给IDP, 而自己成为SP. IDP跟SP之间的通信的安全,或者说他们之前的信任是需要证书支持的,一般在IDP和SP的metadata都会配置证书的公钥,当信息传到自己系统时, 用自己的私钥做验签/解密。上面两个配置完成后其实作为IDP还是不能运作的(未授权的服务),你要对外提供身份验证的话,除了别人配置你作为IDP, 你也需要知道是哪个服务在用你, 你还需要给SP(服务提供方)权限,并且配置sp的metadata。2) 修改cas.properties加上委托认证的配置。
CAS-认证流程详解
06-09 1万+
基础知识 名词解释 AS Authentication Service:认证服务,发放TGT KDC Key Distribution Center:密钥发放中心 TGS Ticket-Granting Service:票据授权服务,索取TGT,发放ST TGC ticket-granting cookie:授权的票据证明,由CAS Server通过SSL方式发送给终端用户。该值存在Cookie中,根据TGC可以找到TGT。 TGT Ticket Granting tieckt:俗称大令牌,或者票根,由KD
自定义cas服务器,简单的SSO - 使用自定义身份验证 - CAS还是某些Oauth或openid服务器?...
weixin_36073697的博客
07-29 205
这是基于我的经验:SSO(单点登录)与两种情况有关: - i)我非常了解你(涉及两方)ii)嘿朋友,见到我的朋友(涉及三方)所以当然,第二种情况需要一种重定向/转发机制,因为通常第三方只是集中认证/授权服务 .现在,实施明智,SSO需要评估两个方面: -a)不同的各方/系统(无论是内部/外部的组织)如何管理用户凭证 . 这称为身份管理 .b)SSO信息应如何在各方之间流动? Ofcouse在大多...
CAS单点登录开源框架解读(十三)--CAS单点登录代理模式之代理端验证获取用户身份过程
joeljx的专栏
04-19 2229
代理模式访问过程 分两步实现代理过程: 1、用户先访问CAS单点登录代理端(也就是上一章节中客户端1)的地址 url1:http://localhost:8088/cas-client/test,此地址就是用于普通的单点登录。 2、再访问CAS单点登录代理端地址 url2: http://localhost:8088/cas-client/proxyServlet 在上一章节中我们知道在url的...
CAS单点登录(SSO)介绍及部署
热门推荐
架构师修炼道路
02-19 2万+
介绍CASCAS 是Yale(耶鲁)大学的一个开源的企业单点登录系统,它的特点: Java (Spring Webflow/Spring Boot) 服务组件 可插拔身份验证支持(LDAP,Database,X.509,MFA) 支持多种协议(CAS,SAML,OAuth,OpenID,OIDC) 跨平台客户端支持(Java,.Net,PHP,Perl,Apache等) 与uPortal,Lif
cas5.3.2单点登录-自定义登录验证(四)
这个名字想了很久
09-03 1万+
原文地址,转载请注明出处:&amp;amp;amp;nbsp;https://blog.csdn.net/qq_34021712/article/details/81144874&amp;amp;amp;nbsp;&amp;amp;amp;nbsp; &amp;amp;amp;nbsp;&amp;amp;amp;nbsp;©王赛超&amp;amp;amp;nbsp; 我们在使用SSO单点登录的时候不只是验证一下用户名和密码是否一致,有时候还需要验证一些别的校
CAS单点登录开源框架解读(五)--CAS单点登录服务端认证之用户认证
joeljx的专栏
03-29 2552
如何进行用户身份认证 在第四章节中已经分析了如何输入请求地址跳转到登录页面的流程,下面就要进行登录页面输入用户信息进行用户认证的具体流程。 行为状态realSubmit *login-webflow.xml:* <action-state id="realSubmit"> <evaluate expression="authenticati...
Cas(06)——基于数据库的认证
Elim的博客
03-18 1万+
基于数据库的认证           Cas Server自身已经为我们实现了几种基于JDBC的AuthenticationHandler实现,但它们不包含在Cas Server的核心包里面,而是包含在cas-server-support-jdbc中,如果我们要使用Cas Server已经实现好的基于JDBC的AuthenticationHandler,我们必须先将cas-server-sup
CAS认证失败
tangdj1992的博客
06-25 2149
cas做登录认证时,有时会认证失败,求大神指导! 错误信息如下: ERROR [org.apereo.cas.support.rest.TicketsResource] - <[2 errors, 0 successes] Caused by: [[FailedLoginException, FailedLoginException]]> org.apereo.cas.authentication.AuthenticationException: 2 errors, 0 successes
CAS详解:企业单点登录解决方案
CAS为Web应用提供了强大的单点登录解决方案,其开源、跨平台、可扩展的特性使其在各类机构和企业中得到广泛应用。通过理解CAS的工作原理和配置,开发者可以有效地提升用户登录体验,同时增强系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值