cas介绍及与spring-security整合

最新推荐文章于 2024-06-03 09:06:35 发布
最新推荐文章于 2024-06-03 09:06:35 发布
阅读量1.9k 收藏 2
点赞数 1
分类专栏: java技术 文章标签: cas单点登录 spring-security与cas整合
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x286129277/article/details/86565054
版权

一、单点登录CAS介绍

1.1 什么是单点登录CAS

单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

1.2 单点登录的应用场景

在系统的开发过程中,如果个系统包含多个子系统,而这些子系统又共用一个认证数据库(可以理解为多个子系统登录的用户信息都保存在一个数据库)。这样就会涉及到一个场景:用户登录过任何一个子系统后,再访问其他的子系统时,不再需要重复登录。这就涉及到单点登录的问题。
例如:有三个子系统A、B、C。登录时用的是同一套数据库,三个系统间可以互相跳转。目标是:三个系统中其中一个登录了,其他两个就无需登录验证。

二、单点登录服务器的完整配置

2.1原生的CAS服务器登录界面效果

原生的CAS服务器,其实就是一个war包。要运行CAS服务器,直接将war包部署到tomcat服务器中即可运行查看效果。原生的cas.war部署后,访问的界面效果如下图:
在这里插入图片描述登录默认的CAS服务器的用户名和密码是: casuser/Mellon

2.2 修改CAS在开发中常用配置(修改商品和https校验忽略)

2.2.1 修改访问端口
  1. 修改tomcat的端口号

打开tomcat主目录中,conf/server.xml文件

<Connector connectionTimeout="20000" port="8080" protocol="HTTP/1.1" redirectPort="8443"/>
  1. 修改CAS配置文件端口号
    修改cas.war主目录中 WEB-INF/cas.properties
    下面的端口号设置为与 tomcat修改的端口一致。
server.name=http://localhost:9100
2.2.2 去除https的认证

CAS 默认使用的是 HTTPS 协议,如果使用 HTTPS 协议需要 SSL 安全证书(需向特定的机构申请和购买) 。如果对安全要求不高或是在开发测试阶段,可使用 HTTP 协议。我们这里讲解通过修改配置,让 CAS 使用 HTTP 协议。

  1. 修改cas的WEB-INF/deployerConfigContext.xml
    <bean
class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient"/>
    这里需要增加参数 p:requireSecure=“false”,requireSecure 属性意思为是否需要安全验证,即HTTPS,false 为不采用
  2. 修改cas的WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml
    <bean  id="ticketGrantingTicketCookieGenerator"
class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASTGC"
p:cookiePath="/cas" />
    参数 p:cookieSecure=“true”,同理为 HTTPS 验证相关,TRUE 为采用 HTTPS 验证,FALSE 为不采用 https 验证。
    参数 p:cookieMaxAge="-1",是 COOKIE 的最大生命周期,-1 为无生命周期,即只在当前打开的窗口有效,关闭或重新打开其它窗口,仍会要求验证。可以根据需要修改为大于 0 的数字,比如 3600 等,意思是在 3600 秒内,打开任意窗口,都不需要验证。
    这里将 cookieSecure 改为 false , cookieMaxAge 改为 3600
  3. 修改cas的WEB-INF/spring-configuration/warnCookieGenerator.xml
    <bean  id="warnCookieGenerator"
class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
p:cookieSecure="true" p:cookieMaxAge="-1" p:cookieName="CASPRIVACY"
p:cookiePath="/cas" />
    这里将 cookieSecure 改为 false , cookieMaxAge 改为 3600
2.2.3 设置“退出登录”时自动跳转的界面
  1. 修改 cas 系统的配置文件 cas-servlet.xml
<bean id="logoutAction" class="org.jasig.cas.web.flow.LogoutAction"
p:servicesManager-ref="servicesManager"
p:followServiceRedirects="${cas.logout.followServiceRedirects:false}"/>

cas.logout.followServiceRedirects的值修改为“true"
2. 在系统中,退出系统的按钮中,发起请求时,超链接进行如下修改

<a href="http://localhost:9100/cas/logout?service=希望跳转的界面或是URL请求">退出登录</a>
2.2.4 修改CAS连接系统数据库动态校验密码

  1. 修改 cas 服务端中 web-inf 下 deployerConfigContext.xml中最后添加下面3项配置

    <!--p:jdbcUrl:设置连接数据库的URL地址;p:user:登录数据库的用户名;p:password:登录数据库的密码  -->
<bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource"
p:driverClass="com.mysql.jdbc.Driver"
p:jdbcUrl="jdbc:mysql://127.0.0.1:3306/pinyougoudb?characterEncoding=utf8"
p:user="root"
p:password="123456" />

    <!-- 注意c:encodingAlgorithm:参数指定当前验证密码时的加密方式 -->
<bean id="passwordEncoder"
class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder"
c:encodingAlgorithm="MD5"
p:characterEncoding="UTF-8" />

    <!--p:sql:指定连接数据库后,根据用户名查询密码的 sql语句 -->
<bean id="dbAuthHandler"
class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler"
p:dataSource-ref="dataSource"
p:sql="select password from tb_user where username = ?"
p:passwordEncoder-ref="passwordEncoder"/>

  2. 将配置的dbAuthHandler注入到认证管理器authenticationManager中

    在当前配置文件中,查找如下配置信息的位置

    <bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">

    将这个bean下的 property属性修改为第1步中配置的dbAuthHandler,具体操作如下

    <entry key-ref="primaryAuthenticationHandler" value-ref="primaryPrincipalResolver" />修改为<entry key-ref="dbAuthHandler" value-ref="primaryPrincipalResolver"/>

  3. 将下面cas所依赖的3个jar包放置到cas.war目录中的lib文件夹中

    c3p0-0.9.1.2.jar
cas-server-support-jdbc-4.0.0.jar
mysql-connector-java-5.1.32.jar
3.4 修改CAS默认的登录界面为与集成的工程配套的
  • cas.war默认的登录界面在目录 WEB-INF\view\jsp\default\ui\casLoginView.jsp。实现对CAS登录界面的更换,只需将集成工程中的login界面替换casLoginView.jsp界面即可。具体操作步骤如下

  1. 将集成工程中的登录界面整体复制到casLoginView.jsp中

  2. 把下面的指令添加到更换后的casLoginView.jsp界面

    <%@ page pageEncoding="UTF-8" %>
<%@ page contentType="text/html; charset=UTF-8" %>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<%@ taglib prefix="spring" uri="http://www.springframework.org/tags" %>
<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>
<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>

  3. 修改form表单的标签

    <form:form method="post" id="fm1" commandName="${commandName}" htmlEscape="true"
class="sui-form">

  4. 修改登录用户名和登录密码的input框

    <form:input id="username" tabindex="1"
accesskey="${userNameAccessKey}" path="username" autocomplete="off" htmlEscape="true"
placeholder="邮箱/用户名/手机号" class="span2 input-xfat" />

    <form:password id="password" tabindex="2" path="password"
accesskey="${passwordAccessKey}" htmlEscape="true" autocomplete="off"
placeholder="请输入密码" class="span2 input-xfat" />

  5. 修改登录按钮

    <input type="hidden" name="lt" value="${loginTicket}" />
<input type="hidden" name="execution" value="${flowExecutionKey}" />
<input type="hidden" name="_eventId" value="submit" />
<input class="sui-btn btn-block btn-xlarge btn-danger" accesskey="l" value="登陆" type="submit" />

二、单点登录案例中web.xml配置介绍

2.1配置单点登出的信息

<!-- 配置 单点登出 -->
 <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 -->  
<listener>  
     <listener-class>
          org.jasig.cas.client.session.SingleSignOutHttpSessionListener
     </listener-class> 
</listener>  

<!-- 该过滤器用于实现单点登出功能,可选配置。 -->  
<filter>  
     <filter-name>CAS Single Sign Out Filter</filter-name>
     <filter-class>
          org.jasig.cas.client.session.SingleSignOutFilter
     </filter-class>  
</filter>  
<filter-mapping>  
     <filter-name>CAS Single Sign Out Filter</filter-name>  
     <url-pattern>/*</url-pattern>  
</filter-mapping>

2.2 配置单点登录的信息

<filter>  
     <filter-name>CASFilter</filter-name>  
     <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>  
     <init-param>  
          <!-- 配置如果当前工程未登录,则会跳转到 CAS的登录界面 -->
          <param-name>casServerLoginUrl</param-name>  
          <param-value>http://localhost:9100/cas/login</param-value>  
          <!--这里的server是服务端的IP -->  
     </init-param>  
     <init-param>  
          <!-- 统一配置,访问CAS服务器根路径 -->
          <param-name>serverName</param-name>  
          <param-value>http://localhost:9001</param-value>
     </init-param>  
</filter>  
<filter-mapping>  
     <!-- 配置 过滤器CASFilter 将会拦截哪些 URL请求-->
     <filter-name>CASFilter</filter-name>  
     <url-pattern>/*</url-pattern>  
</filter-mapping>

2.3 配置票据管理的信息

<!-- 该过滤器负责对Ticket的校验工作,必须启用它 -->  
<filter>  
     <filter-name>CAS Validation Filter</filter-name>  
     <filter-class> 
        org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
     </filter-class>  
     <init-param>  
          <param-name>casServerUrlPrefix</param-name>  
          <param-value>http://localhost:9100/cas</param-value>  
     </init-param>  
     <init-param>  
          <param-name>serverName</param-name>  
          <param-value>http://localhost:9001</param-value>
     </init-param>  
</filter>  
<filter-mapping>  
     <filter-name>CAS Validation Filter</filter-name>  
     <url-pattern>/*</url-pattern>  
</filter-mapping>

三、springsecurity与CAS整合案例

重点要将Spring-security.xml配置文件理解
在这里插入图片描述

3.1 配置总的配置信息

<http use-expressions="false" entry-point-ref="casProcessingFilterEntryPoint">  
     <intercept-url pattern="/**" access="ROLE_USER"/>   
     <csrf disabled="true"/>  
     <!--  filter 都是 spring-security框架内置的 -->
     <!-- custom-filter为过滤器, position 表示将过滤器放在指定的位置上,before表示放在指定位置之前  ,after表示放在指定的位置之后  -->     
     <!-- 登录的配置-->
     <custom-filter ref="casAuthenticationFilter"  position="CAS_FILTER" />  
     <!--登出的配置-->
     <custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER"/>  
     <custom-filter ref="singleLogoutFilter" before="CAS_FILTER"/>  
</http>

3.2 认证过滤器的开始部分

<beans:bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">  
     <beans:property name="authenticationManager" ref="authenticationManager"/>  
</beans:bean>  

<!-- 认证管理器 -->
<authentication-manager alias="authenticationManager">
     <authentication-provider  ref="casAuthenticationProvider">
     </authentication-provider>
</authentication-manager>

<!-- 认证提供者 -->
<beans:bean id="casAuthenticationProvider"  class="org.springframework.security.cas.authentication.CasAuthenticationProvider"> 
     <beans:property name="authenticationUserDetailsService">  
          <beans:bean class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">  
         <!-- 配置加载Spring-security框架的自定义认证类-->      
               <beans:constructor-arg ref="userDetailsService" />  
          </beans:bean>  
     </beans:property>  
     <beans:property name="serviceProperties" ref="serviceProperties"/>  
     
     <!-- ticketValidator 为票据验证器。指定了获取票据信息的CAS的访问根URL -->
     <beans:property name="ticketValidator">  
          <beans:bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">  
               <beans:constructor-arg index="0" value="http://localhost:9100/cas"/>  
          </beans:bean>  
     </beans:property>  
     <beans:property name="key" value="an_id_for_this_auth_provider_only"/> 
</beans:bean> 

<!-- 认证类:配置spring-security中认证操作的自定义实现类。作用:加载当前登录用户的角色列表 -->
<beans:bean id="userDetailsService" class="cn.itcast.demo.service.UserDetailServiceImpl"/>

<!-- 配置整合spring-security和cas工程后的 本地登录访问的URL-->   
<beans:bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">  
        <!--service 配置自身工程的根地址+/login/cas  如果登出,则会跳转到当前所配置的URL路径中 -->  
        <beans:property name="service" value="http://localhost:9003/login/cas"/>
    </beans:bean>

3.3 配置登出的信息

  • requestSingleLogoutFilter
<!-- 经过此配置,当用户在地址栏输入本地工程 /logout/cas  -->      
<beans:bean id="requestSingleLogoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter"> 
     <!--配置cas退出成功,将会跳转的界面-->
     <beans:constructor-arg value="http://localhost:9100/cas/logout?service=http://localhost:9003/login.html"/>  
     <beans:constructor-arg>  
          <beans:bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"/>  
     </beans:constructor-arg>  
     <beans:property name="filterProcessesUrl" value="/logout/cas"/>  
</beans:bean>
  • 配置singleLogoutFilter登出过滤器的配置
<beans:bean id="singleLogoutFilter" class="org.jasig.cas.client.session.SingleSignOutFilter"/>
专注湖北就业-文哥
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 3 与 CAS单点登录配置-Server
03-19
NULL 博文链接:https://liuqq.iteye.com/blog/720014
spring security 集成cas实现单点登录
luhaichuan88的博客
08-24 2296
最近接了一个任务,公司之前为客户做了很多的系统,后面做成了通用的业务系统准备向外销售,因此需要做一个演示系统将所有业务系统都放到演示系统中,用户在演示系统登录后可以访问其中的任意业务系统,这一听就是一个单点登录的需求啊,因此就去了解了下,发现了CASCAS是中央认证服务Central Authentication Service的简称。最初由耶鲁大学的Shawn Bayern 开发,后由Jasig社区维护,经过十多年发展,目前已成为影响最大、广泛使用的、基于Java实现的、开源SSO解...
spring-security-cas 遇到的坑2
最新发布
kingwin28的博客
06-03 264
spring-security-cas 遇到的坑
Spring Security整合CAS
new_ord的博客
11-15 1万+
CAS(中央认证服务) 从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。图1 是 CAS 最基本的协议过程: CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否
16.Spring Boot 使用Spring security 集成CAS
热门推荐
编码语言Codelang
01-03 4万+
在上一篇中说了Spring Boot 使用Spring security,在这一篇中将讲讲Spring security 集成CAS
spring security之整合cas
远方的少年
04-15 754
    spring security提供了一个开源的单点登陆系统,就是cas(Central authentication system),在平常的企业开发中有广泛的应用。   第一步,配置AuthenticationEntryPoint,作为应用的登陆认证入口。  第二步,配置CasAuthenticationFilter,并将其放置在filter链表中CAS_FILTER的位置,已处理Cas...
cas-security-spring-boot-starter:用于Apereo CAS客户端的Spring Boot Starter与Spring Security完全集成
01-30
Spring Security CAS启动器 一个Spring Boot Starter,它将帮助您在应用程序安全上下文中配置 。 产品特点 Spring Boot 1和2支持 配置CAS身份验证和授权 支持基于当前HttpServletRequest动态服务解析 通过高级配置 ...
Spring Security整合CAS的示例代码
08-27
在本文中,我们将探讨如何将Spring Security与中央认证服务(CAS)进行整合,以实现单点登录(SSO)功能。首先,我们注意到没有使用Spring Security提供的`spring-security-cas`模块,这可能是因为原生的jasig cas包...
cas-server-client-springsecurity.zip
08-22
`cas-server-client-springsecurity.zip`是一个预配置的overlay,它已经包含了与Spring Security客户端整合所需的配置和依赖。 **Spring Security整合** Spring Security是Java中一个强大的安全框架,用于处理Web...
Spring Security集成CAS客户端实例
03-02
这是一个Spring Security集成CAS实现单点登录的客户端实例,使用Maven集成开发,项目中使用到的Oframer和otauser(CAS服务端)请至我的资源中寻找下载。
SpringBoot+Security+Cas
09-07
SpringBoot+Security+Cas 的一个Demo,想学习的可以参考下
cas,spring security
06-29
cas版本3.4.0,spring security版本3.1.4,经测试可用!
spring boot整合CAS配置详解
08-30
Spring Boot 整合 CAS 配置详解 ...我们首先CAS 的概念,然后了如何在 Spring Boot 中配置 CAS 客户端和 Spring Security。最后,我们总结了 CAS 客户端配置和 Spring Security 配置的详细信息。
springboot+security+cas集成demo
11-23
在IT领域,Spring Boot、Security和CAS都是非常重要的框架和工具,它们分别在不同的层面上为应用程序提供服务。本文将详细解析"springboot+security+cas集成demo"的相关知识点。 首先,Spring Boot是由Pivotal团队...
CAS 单点登录/登出 与 SpringSecurity 的整合
Thor_Selen_Liu的博客
07-28 4856
CAS 单点登录登出 https://blog.csdn.net/Thor_Selen_Liu/article/details/81201333 SpringSecurity框架 — — 安全校验 https://blog.csdn.net/Thor_Selen_Liu/article/details/81220568 前言:     通过前面两个知识点的学习,下面我们,将两个知识点进行...
史上最简单的Spring Security教程(二十八):CA登录与默认用户名密码登录共存详细实现及配置
银河架构师的博客
09-20 3208
​在前面的文章中,我们自定义了一些CA登录相关的类,如CertificateAuthorityAuthenticationToken、CertificateAuthorityAuthenticationFilter、CertificateAuthorityDaoAuthenticationProvider等。但是,由于诸多条件的不具备,也就没有办法演示。 不过,目前一个新登录方式所需要的逻辑基本都过了,下面,就利用这些已经自定义的类,来尝试如何自定义个新的登录方式-CA登录。并且,CA登录需要与默认.
spring-security中的cas客户端的作用
05-31
Spring Security CAS客户端是用于与CAS服务器进行通信并集成CAS验证和单点登录功能的框架。它允许应用程序使用CAS进行身份验证和授权,以确保应用程序的安全性。 CAS(Central Authentication Service)是一个单点...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值