Springboot Cas 认证的源码解析

最新推荐文章于 2024-06-22 16:03:12 发布
最新推荐文章于 2024-06-22 16:03:12 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 基础知识 springboot 源码解析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoguangtouqiang/article/details/100087405
版权

上面文章介绍了Springboot如何集成Cas的认证,但是在写代码的时候有一些疑问:

1)我们获取认证的内容的时候是SecurityContextHolder.getContext(),那么这里面的内容是什么时候放进去的,放进去的内容是什么?

2)我们自定义的userDetailService获取的结果是如何使用的,跟Authentication有什么关系?

下面带着这两个问题,跟着源码的流程往下看,源码可能跟SpringSecurity的版本有关系,我看的版本是4.2.3的

1>CasAuthenticationFilter

主要的类是CasAuthenticationFilter,他的定义如下

public class CasAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
}

首先它是继承AbstractAuthenticationProcessingFilter这个类的,我们看AbstractAuthenticationProcessingFilter这个类的filter逻辑

其实就两步,第一调用attemptAuthentication尝试认证,第二步拿到认证的结果作为参数,执行认证成功之后的流程;这两个步骤分别在子类中CasAuthenticationFilter进行具体的实现;

2>attemptAuthentication的逻辑

@Override
	public Authentication attemptAuthentication(final HttpServletRequest request,
			final HttpServletResponse response) throws AuthenticationException,
			IOException {
		// if the request is a proxy request process it and return null to indicate the
		// request has been processed
		if (proxyReceptorRequest(request)) {
			logger.debug("Responding to proxy receptor request");
			CommonUtils.readAndRespondToProxyReceptorRequest(request, response,
					this.proxyGrantingTicketStorage);
			return null;
		}

		final boolean serviceTicketRequest = serviceTicketRequest(request, response);
		final String username = serviceTicketRequest ? CAS_STATEFUL_IDENTIFIER
				: CAS_STATELESS_IDENTIFIER;
		String password = obtainArtifact(request);

		if (password == null) {
			logger.debug("Failed to obtain an artifact (cas ticket)");
			password = "";
		}

		final UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		authRequest.setDetails(authenticationDetailsSource.buildDetails(request));

		return this.getAuthenticationManager().authenticate(authRequest);
	}

这里具体的认证逻辑并没有,实现是在最后一句

this.getAuthenticationManager().authenticate(authRequest);

具体的认证逻辑在AuthenticationManager来做,具体实现是这样的

提供多个provider去认证;而对于cas来说,使用的是CasAuthenticationProvider;

3>CasAuthenticationProvider的主要逻辑

private CasAuthenticationToken authenticateNow(final Authentication authentication)
			throws AuthenticationException {
		try {
			final Assertion assertion = this.ticketValidator.validate(authentication
					.getCredentials().toString(), getServiceUrl(authentication));
			final UserDetails userDetails = loadUserByAssertion(assertion);
			userDetailsChecker.check(userDetails);
			return new CasAuthenticationToken(this.key, userDetails,
					authentication.getCredentials(),
					authoritiesMapper.mapAuthorities(userDetails.getAuthorities()),
					userDetails, assertion);
		}
		catch (final TicketValidationException e) {
			throw new BadCredentialsException(e.getMessage(), e);
		}
	}

这里拿ticketValidator.validate 去校验cas的ticket,校验成功之后,这个值作为CasAuthenticationToken中的一个属性,返回的结果是

CasAuthenticationToken;同时loadUserByAssertion会使用我们定义的userDetailService获取一些用户信息,也作为CasAuthenticationToken的属性;

到这里认证完成,我们接着看认证成功之后的流程,回到最开始CasAuthenticationFilter的逻辑

4>successfulAuthentication

其实重要的逻辑在这里,上面认证的结果,CasAuthenticationToken放在SecurityContext中;到此整个逻辑结束了;

上面的两个疑问也就解决了;

 

 

 

 

xiaoguangtouqiang
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
单点登录 cas 设置回调地址_cas客户端流程详解(源码解析)单点登录
weixin_39607240的博客
11-21 1226
博主之前一直使用了cas客户端进行用户的单点登录操作,决定进行源码分析来看cas的整个流程,以便以后出现了问题还不知道是什么原因导致的cas主要的形式就是通过过滤器的形式来实现的,来,贴上示例配置: <listener> <listener-class>org.jasig.cas.client.sessio...
springboot集成CAS实现单点登录的示例代码
08-19
SpringBoot集成CAS实现单点登录是一项常见的企业级应用技术,旨在提供用户一次登录即可访问多个系统的便捷体验。CAS(Central Authentication Service)是一个开源的身份验证框架,它允许用户在一个集中的服务器上...
自定义单点登录页面--在自己的网站使用单点登录进行登录(1)
scubers的专栏
05-21 2941
1. 动机        用过 CAS 的人都知道 CAS-Server端是单独部署的,作为一个纯粹的认证中心。在用户每次登录时,都需要进入CAS-Server的登录页填写用户名和密码登录,但是如果存在多个子应用系统时,它们可能都有相应风格的登录页面,我们希望直接在子系统中登录成功,而不是每次都要跳转到CAS的登录页去登录。  2. 开始分析问题         其实仔细想一想,为什么不
cas客户端流程详解(源码解析)--单点登录
最新发布
努力的小雨,一个阳光向上的博客不仅仅给你知识更希望带给你快乐
06-22 824
博主用的不是官方的cas的jar包,是第三方要求的又再次封装的jar包,不过就是属性,获取用户信息的逻辑多了点,其他的还是官方的源码,博主懒 的下载官方的jar在进行一步一步的debug看源码了。7 //该过滤器的作用就是,把用户对象从session中拿出来,放到AssertionHolder里面,从而在代码中获取对象信息的时候,66 //-------------@这里----------------------
spring boot整合CAS配置详解
爬虫 的博客
05-04 3741
不多废话,直接上最重要的代码,以下代码整合cas的重要过程?12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899...
SpringBoot+CAS这套单点登录通用方案,打通我司几十个系统,稳的一批!大Pass平台...
Java和Android架构
06-12 548
为什么很多 SpringBoot 开发者放弃了 Tomcat,选择了 Undertow?上一篇:35岁中年博士失业,决定给找高校教职的后辈一些建议前言一、CAS是什么?二、搭建客户端系统引入CAS客户端后端搭建总结前言什么是单点登录?单点登录全称Single Sign On(以下简称SSO),是指在多系统应用群中登录一个系统,便可在其他所有系统中得到授权而无需再次登录,包...
SpringBoot集成cas-client 客户端配置拦截过滤,绝对最简单有效,亲测
热门推荐
jackspring的博客
03-19 1万+
我使用的cas-client客户端为2.0.0-GA。对于以前使用web.xml进行配置的只需要更改配置文件即可。此文我主要是针对用于SpringBoot集成客户端的过滤请求讲解。 由于最新的cas客户端只有server-url-prefix ,server-login-url,client-host-url,authentication-url-patterns等几个配置而取消了原xml中进行...
springboot-casclient.rar
08-02
本项目"springboot-casclient"旨在展示如何将SpringBootCAS相结合,实现单点登录,并结合Thymeleaf模板引擎和Shiro权限管理,构建一个完整的安全认证与授权解决方案。 首先,我们来深入理解SpringBoot集成CAS的...
SpringBoot+Security+Cas
09-07
SpringBoot+Security+Cas是一个集成解决方案,用于构建安全的Web应用程序。这个Demo是为那些希望了解如何在Spring Boot应用中整合Spring Security和CAS(Central Authentication Service)服务的开发者准备的。下面...
基于springbootcas5.3,shiro,pac4j,rest接口获取ticket不再跳转cas server登录页
09-08
2. 集成CAS和Pac4J:在Spring Boot应用中,我们创建一个Pac4J配置类,配置CAS客户端,并启用RESTful认证。这将使我们的应用能够通过REST接口直接与CAS通信。 3. 使用Shiro进行权限控制:在Shiro配置中,我们可以...
cas jwt shiro pac4j springboot认证中心sso完整项目
05-05
前后端分离模式下的cas + shiro + pac4j,cas作为认证中心,子应用采用shiro鉴权,通过pac4j与cas交互,返回jwt token,完整项目,基于springboot框架
spring boot整合CAS Client实现单点登陆验证的示例
梦想起飞的地方.........
01-22 1088
spring boot整合CAS Client实现单点登陆验证的示例 本文介绍了spring boot整合CAS Client实现单点登陆验证的示例,分享给大家,也给自己留个笔记,具体如下: 单点登录( Single Sign-On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要 登录一次 就可以访问所有相互信任的应用系统。 CAS Client 负责处理对客户端受保护资源的访问请求,需要对请求方进行身份认证时,重定向到 CAS.
五十二、SpringBoot配置Filter以及注解配置CAS客户端过滤器
I want to know a little more.
12-29 6036
spring boot 配置Filter过滤器 参考: CAS单点登录详解  CAS单点登录疑问解答  Filter过滤器,Interceptor拦截器,ControllerAdvice,Aspect切片 1、通过 @WebFilter 注解来配置 写法一: @Component @WebFilter(urlPatterns = "/webapi/*", filterName = "...
基于Spring boot的CAS单点登录项目改造
cdmalg的博客
05-25 1456
背景 最近换了份工作,入职第一个任务就是把一个Spring boot项目改造成SSO单点登录,之前没有接触过单点登录,上来就项目改造真的是压力山大啊,用了五天连摸索带学习总算改成了,目前来看应该没啥问题。 项目结构 ...
SpringBoot中关于一些项目的配置(CAS登录验证)
qq_40708522的博客
06-17 460
SpringBoot中关于一些项目的配置
Spring Security 关键的几个Filter(上)
chitiguan0536的博客
12-05 458
虽然Spring Security有很多的拦截器,但是关键的拦截器其实并不多,本人通过查看源码和参照网上其他人的研究成功,大概总结出核心的Filter有如下几个(由于现在流行jwt格式的token认证,所以就不介绍session那块了)。 SecurityContextPersist...
SpringBoot集成Spring Security——【认证流程】
ITxiaobaibai的博客
11-13 1964
Spring Security——认证流程
Spring Security 之 AbstractAuthenticationProcessingFilter 源码解析
weixin_38982591的博客
05-27 5623
SpringSecurity对Spring Web项目提供支持,AbstractAuthenticationProcessingFilte 作为验证请求入口的。 AbstractAuthenticationProcessingFilter 继承自 GenericFilterBean,而 GenericFilterBean 是 spring 框架中的过滤器类,实现了接口 javax.servlet.Filter。 public abstract class AbstractAuthentication.
五、Spring Security使用数据库数据完成认证
付之一笑的专栏
08-25 693
一、认证流程分析 1.1、UsernamePasswordAuthenticationFilter // // Source code recreated from a .class file by IntelliJ IDEA // (powered by FernFlower decompiler) // package org.springframework.security.web.authentication; import javax.servlet.http.HttpServletReque
springboot cas
08-25
CAS是一种基于Web的企业级身份认证系统,通过中央认证服务器来管理用户登录状态和权限访问。 在SpringBoot中整合CAS,首先需要引入自动配置依赖,并启用@EnableCasClient注解。这样可以使得CAS客户端能够与CAS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值