Cas_Java客户端登录相关过滤器的处理流程

最新推荐文章于 2022-08-19 17:48:18 发布
最新推荐文章于 2022-08-19 17:48:18 发布
阅读量147 收藏
点赞数
文章标签: java web.xml

  • 首先了解一下CAS登录原理:

    1、CAS结构中一般包含CAS服务器(Cas验证服务器)、应用服务器(程序所在服务器)、客户端(web浏览器)三个部分

    2、客户端向应用服务器发出请求,由于未登录,会被跳转到CAS服务器登录。

    3、登录成功后跳转回应用服务器的登录前的URL,但是CAS服务器会给URL加上一个ticket参数。

    4、应用服务器(这里应该是指业务服务器)拿着ticket去CAS服务器验证,验证成功后即加入一个session表示已登录,以后就不用再次登录了。

  •  

    在web.xml配置中,AuthenticationFilter和TicketValidationFilter两个过滤器是负责处理登录流程的。

    web.xml配置:(serverName表示上述的应用服务器)

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    < filter >
         < filter-name >CAS Authentication Filter</ filter-name >
         < filter-class >org.jasig.cas.client.authentication.AuthenticationFilter</ filter-class >
         < init-param >
            /* 中心服务器 登录 地址 */
             < param-name >casServerLoginUrl</ param-name >
             < param-value >http://localhost:8080/cas/login</ param-value >
         </ init-param >
         < init-param >
             /* 中心服务器地址 */
             < param-name >serverName</ param-name >
             < param-value >http://localhost:9999</ param-value >
         </ init-param >
    </ filter >
    < filter-mapping >
         < filter-name >CAS Authentication Filter</ filter-name >
         < url-pattern >/*</ url-pattern >
    </ filter-mapping >
    < filter >
         < filter-name >CAS Validation Filter</ filter-name >
         < filter-class >org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</ filter-class >
         < init-param >
             < param-name >casServerUrlPrefix</ param-name >
             < param-value >http://localhost:8080/cas</ param-value >
         </ init-param >
         < init-param >
            /* 中心服务器地址 */
             < param-name >serverName</ param-name >
             < param-value >http://localhost:9999</ param-value >
         </ init-param >
    </ filter >
    < filter-mapping >
         < filter-name >CAS Validation Filter</ filter-name >
         < url-pattern >/*</ url-pattern >
    </ filter-mapping >

            

    1、AuthenticationFilter

     

    AuthenticationFilter中doFilter方法源码:

    a)验证session是否有值(用户数据放在session中)
    b)验证是否有ticket(不验证其正确性)
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    public final void doFilter( final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException {
             final HttpServletRequest request = (HttpServletRequest) servletRequest;
             final HttpServletResponse response = (HttpServletResponse) servletResponse;
             final HttpSession session = request.getSession( false );
             final Assertion assertion = session != null ? (Assertion) session.getAttribute(CONST_CAS_ASSERTION) : null ;
     
             // 如果session中的CONST_CAS_ASSERTION(即"_const_cas_assertion_")不为空,则跳过此过滤器
            //用户账号在服务端统一管理,session放在服务端,所以是公用的
             if (assertion != null ) {
                 filterChain.doFilter(request, response);
                 return ;
             }
     
             final String serviceUrl = constructServiceUrl(request, response);
             final String ticket = CommonUtils.safeGetParameter(request,getArtifactParameterName());
             final boolean wasGatewayed = this .gatewayStorage.hasGatewayedAlready(request, serviceUrl);
     
             // 如果ticket参数不为空,则跳过此过滤器
            // ticket有值则直接执行下一个filter,先不验证其正确性
             if (CommonUtils.isNotBlank(ticket) || wasGatewayed) {
                 filterChain.doFilter(request, response);
                 return ;
             }
     
             final String modifiedServiceUrl;
     
             log.debug( "no ticket and no assertion found" );
             if ( this .gateway) {
                 log.debug( "setting gateway attribute in session" );
                 modifiedServiceUrl = this .gatewayStorage.storeGatewayInformation(request, serviceUrl);
             } else {
                 modifiedServiceUrl = serviceUrl;
             }
     
             if (log.isDebugEnabled()) {
                 log.debug( "Constructed service url: " + modifiedServiceUrl);
             }
     
             final String urlToRedirectTo = CommonUtils.constructRedirectUrl( this .casServerLoginUrl, getServiceParameterName(), modifiedServiceUrl, this .renew, this .gateway);
             // modifiedServiceUrl 登录前的参数
     
             if (log.isDebugEnabled()) {
                 log.debug( "redirecting to " " + urlToRedirectTo + " "" );
             }
     
             // 跳转到CAS Server登录页面,让用户登录(第一道验证未过)
             response.sendRedirect(urlToRedirectTo);
         }

      

    通过源码可以看出这个过滤器的处理流程:

     

    1、如果session中包含name为"_const_cas_assertion_"的属性,也就是用户已经登录过了,则跳过此过滤器。

    2、如果ticket参数不为空,即可能是登录后跳转回来的URL,则跳过此过滤器。(注意,AuthenticationFilter只判断ticket是否为空,并不做ticket合法校验,也就是随便输入一个ticket参数在URL中都可以通过此过滤器。而负责校验ticket的是第二个过滤器:TicketValidationFilter 。)

    3、如果上面两个条件都不满足,也就是既没有"_const_cas_assertion_"的session又没有ticket参数,则跳转到XML配置的casServerLoginUrl,让用户到CAS Server上登录,并在URL加上一个参数service(即XML配置的serverName加上相对路径,用于登录成功后返回登录前的页面)。

    下面来测试一下,web.xml先只配置一个过滤器,去掉其他过滤器:

    浏览器中输入地址http://localhost:9999/a/b/c并打开,会跳到登录页面,也就是XML中配置的casServerLoginUrl,并加上一个用于返回登录前页面的参数,这个参数由XML配置的serverName加上路径/a/b/c(为登录前需要跳转的页面路径)生成,即http://localhost:8080/cas/login?service=http://localhost:9999/a/b/c。再次页面输入用户名、密码登录,如果登录成功,则跳转到service参数指定的页面,并加上一个参数ticket,即http://localhost:9999/a/b/c?ticket=ST-12-1XGQRUtFnwtqQxdNLOdv-cas01.example.org

    这里可以再测试一下AuthenticationFilter是否校验ticket合法性。例如在浏览器中打开http://localhost:9999/a/b/c?ticket=123,其中ticket参数是随便写的,肯定不是合法的,但是访问可以直接进入页面,不再需要登录。也就是AuthenticationFilter只判断ticket是否为空,并不校验是否合法。

    2、TicketValidationFilter

    由于TicketValidationFilter、Cas20ProxyReceivingTicketValidationFilter都继承自AbstractTicketValidationFilter,下面看AbstractTicketValidationFilter中的doFilter方法源码:

     

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    public final void doFilter( final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException {
     
         if (!preFilter(servletRequest, servletResponse, filterChain)) {
             return ;
         }
     
         final HttpServletRequest request = (HttpServletRequest) servletRequest;
         final HttpServletResponse response = (HttpServletResponse) servletResponse;
         final String ticket = CommonUtils.safeGetParameter(request, getArtifactParameterName());
     
         // 如果ticket不为空,则校验此ticket,否则直接跳过此过滤器
        //经过AuthenticationFilter的过滤,ticket应该不为空,只是不能保证他的正确性
         if (CommonUtils.isNotBlank(ticket)) {
             if (log.isDebugEnabled()) {
                 log.debug( "Attempting to validate ticket: " + ticket);
             }
     
             try {
                 // 校验ticket,校验失败抛出异常(检验ticket应该是做对比)
                 final Assertion assertion = this .ticketValidator.validate(ticket, constructServiceUrl(request, response));
     
                 if (log.isDebugEnabled()) {
                     log.debug( "Successfully authenticated user: " + assertion.getPrincipal().getName());
                 }
     
                  // AuthenticationFilter中是从session取这个值
                 request.setAttribute(CONST_CAS_ASSERTION, assertion);
     
                 if ( this .useSession) {
                     // 设置session中的CONST_CAS_ASSERTION(即"_const_cas_assertion_")属性
                     request.getSession().setAttribute(CONST_CAS_ASSERTION, assertion);
                 }
                 onSuccessfulValidation(request, response, assertion);
     
                 if ( this .redirectAfterValidation) {
                     log. debug( "Redirecting after successful ticket validation." );
     
                     // URL去掉ticket参数并跳转
                     response.sendRedirect(constructServiceUrl(request, response));
                     return ;
                 }
             } catch ( final TicketValidationException e) {
                 response.setStatus(HttpServletResponse.SC_FORBIDDEN);
                 log.warn(e, e);
     
                 onFailedValidation(request, response);
     
                 if ( this .exceptionOnValidationFailure) {
                     throw new ServletException(e);
                 }
     
                 return ;
             }
         }
     
         filterChain.doFilter(request, response);
     
    }

    AuthenticationFilter

     

    通过源码可以看出这个过滤器的处理流程:【很重要,ticket只是用一次】

    1、如果有ticket参数,校验ticket是否合法(不合法则异常:org.jasig.cas.client.validation.TicketValidationException: CAS Server could not validate ticket)。

    2、如果合法则在session加入"_const_cas_assertion_",并再次跳转,这次跳转主要就是去掉ticket参数,即从http://localhost:9999/a/b/c?ticket=ST-12-1XGQRUtFnwtqQxdNLOdv-cas01.example.org跳转到http://localhost:9999/a/b/c。(这样做有个好处就是如果用户F5刷新页面,(虽然没有了ticket,但是session有值,AuthenticationFilter一样会跳转到下一个Filter)由于已经没有ticket参数,不会再次去校验ticket,而同一个ticket只能使用一次,再次去CAS服务器校验会出现TicketValidationException异常。)

    3、如果没有ticket参数,则直接跳过此过滤器(没有ticket参数的话就一定是session中包含"_const_cas_assertion_"的属性,否则连第一个过滤器AuthenticationFilter都无法通过)。

    整理一下整个登录流程:

    1、第一次请求应用服务器:

    当用户第一次访问应用服务器的URL,由于session中没有"_const_cas_assertion_"且参数中没有ticket,会被AuthenticationFilter跳转到CAS服务器的登录页面。

    2、第二次请求应用服务器:

    在CAS服务器的登录页面成功登录以后,会跳转到应用服务器登录前的页面,但是加上了一个参数ticket。此次请求由于有ticket参数,通过了AuthenticationFilter,但是TicketValidationFilter会对ticket进行校验,校验成功后,会在session中加入"_const_cas_assertion_",再去掉ticket参数进行一次跳转。

    3、第三次请求应用服务器:

    此时由于session中已经有了"_const_cas_assertion_",会通过AuthenticationFilter,由于没有ticket参数,也通过了TicketValidationFilter,也就是可以正常显示出这个页面了。以后再请求应用服务器就和这次一样了,由于session包含"_const_cas_assertion_"即可正常访问。(以后每次都是根据session进行验证,直到单点登出清空session)

weixin_34402408
关注
CAS(SSO)-.zip_CAS_CAS SSO_java sso_sso java
09-24
2. **CAS客户端集成**:如何在Java Web应用中集成CAS客户端库,设置过滤器以重定向未认证的请求到CAS服务器,以及解析返回的ST并验证。 3. **用户认证流程**:详细步骤解释了用户如何从登录到访问服务的整个过程,...
CAS实现单点登录
weixin_30248399的博客
06-28 1389
1.简介 SSO单点登录 在多个相互信任的系统中,用户只需要登录一次就可以访问其他受信任的系统。 新浪微博与新浪博客是相互信任的应用系统。 *当用户首次访问新浪微博时,新浪微博识别到用户未登录,将请求重定向到认证中心,认证中心也识别到用户未登录,则将请求重定向到登录页。 *当用户已登录新浪微博访问新浪博客时,新浪博客识别到用户未登录,将请求重定向到认...
java读取propertiesshib,Java CommonUtils.constructServiceUrl方法代码示例
weixin_34864191的博客
03-16 252
import org.jasig.cas.client.util.CommonUtils; //导入方法依赖的package包/类/*** Construct service url string.** @param request the request* @param response the response* @param pair the pair* @return the s...
Springcloud项目接入cas-server(中央认证服务),含cas-client源码修改,maven工程引入本地jar
weixin_44329964的博客
06-24 3702
springcloud纳入到cas-server管理,cas-client源码修改,maven工程 引入本地jar
cas-4.2.7搭建单点登录(9)---cas客户端不拦截指定url
Dai_Haijiao的博客
03-04 790
cas-4.2.7搭建单点登录---cas客户端不拦截指定url
单点登录SSO(cookie和ticket)实现
热门推荐
づ開始懂了的博客
09-03 2万+
本篇是对项目中用到单点登录的一些总结整理,具体的内容是结合自己找的一篇博客(下面会给大家贴出),主要是用cookie和ticket实现的。 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 WEB-SSO的实现 众所周知,Web协议(也就是HTTP)是一
java-cas-client:Apereo Java CAS客户端
02-03
客户端由一系列Servlet过滤器组成,这些过滤器适用于大多数基于Java的Web应用程序。 它还用作API平台,以编程方式与CAS服务器进行交互,以进行身份​​验证请求,验证票证和使用主体属性。 所有客户端工件都发布到...
cas-client-2.0.11.zip_cas client_cas-clie_cas-client-2._java CAS
09-20
3. **CAS客户端配置**:安装和配置CAS客户端通常涉及以下几个步骤:导入相关的JAR库,配置客户端的属性文件(如cas.properties),定义服务URL和CAS服务器的地址,以及处理服务票证验证的过滤器设置。 4. **cas-...
java-cas客户端client安装包
07-06
3. 应用过滤器:在Web应用的`web.xml`中配置CAS过滤器,使客户端能够拦截并处理CAS相关的HTTP请求。 4. 用户认证:定义认证处理器,处理CAS服务器返回的认证结果,并根据结果进行用户会话的创建或销毁。 四、核心...
CAS单点登录例子,包含服务端和客户端
01-12
1. **过滤器**:在Java Web应用中,这通常是Servlet过滤器,它拦截请求,检查是否已经存在有效的服务票证。 2. **票证验证**:如果发现用户没有有效的票证,客户端会将用户重定向到CAS服务器进行登录。 3. **Ticket...
Cas认证原理
八神庵的博客~
09-20 3522
1.cas相当于一个web应用,应配置在一台电脑上,作为cas认证服务器。首先有三个URL: 登录URL:cas登录认证url(假设为:https://cas/login) 验证URL:cas的验证ticket(票据)url 登出URL:cas的登出url(假设为:https://cas/logout)1、浏览器首先访问页面(假设为:https://myweb/weblogin),filet
CAS 3.2.1内外网映射问题的解决办法
似水流年
04-29 1985
一般项目绝大数都是部署于某一个网络,要么在内网,要不在外网,部署在内网的目前很多都通过VPN进行内网的访问。但对于一些项目是部署在内网,然后通过网络路由映射方式进行外网的访问,一般情况如果是通过自己开发的登陆此问题不需要进行任何改动,而当您使用了通用的CAS统一认证服务时,由于WEB应用工程中web.xml配置的CAS地址是固定的,而不是一个动态的地址,当将WEB应用服务器例如TOMCAT...
五十二、SpringBoot配置Filter以及注解配置CAS客户端过滤器
I want to know a little more.
12-29 6098
spring boot 配置Filter过滤器 参考: CAS单点登录详解  CAS单点登录疑问解答  Filter过滤器,Interceptor拦截器,ControllerAdvice,Aspect切片 1、通过 @WebFilter 注解来配置 写法一: @Component @WebFilter(urlPatterns = "/webapi/*", filterName = "...
liferay过滤器(三)
xijunhu1982的专栏
07-20 192
1、Minifier过滤器 主要代码: if (realPath.endsWith(_CSS_EXTENSION)) {    if (_log.isInfoEnabled()) {     _log.info("Minifying CSS " + file);    }     minifiedContent = minifyCss(request, file);     respons...
CAS单点登录详细流程
dl71181的博客
01-29 1136
一、CAS简介和整体流程 CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点: 【1】开源的企业级单点登录解决方案。 【2】CAS Server 为需要独立部署的 Web 应用。 【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的...
CAS单点登录开源框架解读(八)--CAS单点登录客户端认证之客户端向服务端发起请求
joeljx的专栏
04-02 1553
客户端是如何向服务端发起请求的 前面客户端部分讲过,客户端web.xml里配置了五个filter。下文中会使用序号来表示,具体的过滤器名称可以看上一章节。 1. 调用第1个filter 首先进入第一个filter:SingleSignOutFilter,因为现在是进行登录认证,没有登出请求,所以什么都没做,进入下一个filter。 2. 调用第2个filter *AuthenticationFi...
CAS 票根‘ST-xxxxx‘不符合目标服务问题解决
weixin_44183044的博客
08-19 7167
CAS 票根'ST-xxxxx'不符合目标服务 问题解决
CAS单点登录(Client 客户端过滤器重写
qq_37766224的博客
09-18 4731
一. 使用默认过滤器配置 springboot 1. 启动类上 加 @EnableCasClient 开启casclient 客户端 2.properties加如下配置 #cas 配置 cas.server-url-prefix=http\://192.168.1.232\:80 cas.server-login-url=http\://192.168.1.232\:80/cas/login cas.client-host-url=http\://192.168.1.232\:20002 cas.vali
自定义cas客户端核心过滤器AuthenticationFilter
凌晨1点21分的专栏
03-07 1万+
自定义cas客户端核心过滤器AuthenticationFilter          关于cas客户端的基本配置这里就不多说了,不清楚的可以参考上一篇博文:配置简单cas客户端。这里是关于cas客户端实现动态配置认证需要开发说明。          往往业务系统中有些模块或功能是可以不需要登录就可以访问的,但是添加了cas客户端之后,通过cas客户端filter中的url-pattern来设
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值