AuthenticationFilter中doFilter方法源码:
01.
public final void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throwsIOException, ServletException {
02.
final HttpServletRequest request = (HttpServletRequest) servletRequest;
03.
final HttpServletResponse response = (HttpServletResponse) servletResponse;
04.
final HttpSession session = request.getSession(false);
05.
final Assertion assertion = session != null ? (Assertion) session.getAttribute(CONST_CAS_ASSERTION) : null;
06.
07.
// 如果session中的CONST_CAS_ASSERTION(即"_const_cas_assertion_")不为空,则跳过此过滤器
08.
if (assertion != null) {
09.
filterChain.doFilter(request, response);
10.
return;
11.
}
12.
13.
final String serviceUrl = constructServiceUrl(request, response);
14.
final String ticket = CommonUtils.safeGetParameter(request,getArtifactParameterName());
15.
final boolean wasGatewayed = this.gatewayStorage.hasGatewayedAlready(request, serviceUrl);
16.
17.
// 如果ticket参数不为空,则跳过此过滤器
18.
if (CommonUtils.isNotBlank(ticket) || wasGatewayed) {
19.
filterChain.doFilter(request, response);
20.
return;
21.
}
22.
23.
final String modifiedServiceUrl;
24.
25.
log.debug("no ticket and no assertion found");
26.
if (this.gateway) {
27.
log.debug("setting gateway attribute in session");
28.
modifiedServiceUrl = this.gatewayStorage.storeGatewayInformation(request, serviceUrl);
29.
} else {
30.
modifiedServiceUrl = serviceUrl;
31.
}
32.
33.
if (log.isDebugEnabled()) {
34.
log.debug("Constructed service url: " + modifiedServiceUrl);
35.
}
36.
37.
final String urlToRedirectTo = CommonUtils.constructRedirectUrl(this.casServerLoginUrl, getServiceParameterName(), modifiedServiceUrl, this.renew, this.gateway);
38.
39.
if (log.isDebugEnabled()) {
40.
log.debug("redirecting to "" + urlToRedirectTo + """);
41.
}
42.
43.
// 否则跳转到CAS Server登录页面
44.
response.sendRedirect(urlToRedirectTo);
45.
}
通过源码可以看出这个过滤器的处理流程:
如果session中包含name为"_const_cas_assertion_"的属性,也就是用户已经登录过了,则跳过此过滤器。
如果ticket参数不为空,即可能是登录后跳转回来的URL,则跳过此过滤器。(注意,AuthenticationFilter只判断ticket是否为空,并不做ticket合法校验,也就是随便输入一个ticket参数在URL中都可以通过此过滤器。而负责校验ticket的是第二个过滤器:TicketValidationFilter 。)
如果上面两个条件都不满足,也就是既没有"_const_cas_assertion_"的session又没有ticket参数,则跳转到XML配置的casServerLoginUrl,让用户到CAS Server上登录,并在URL加上一个参数service(即XML配置的serverName加上相对路径,用于登录成功后返回登录前的页面)。
下面来测试一下,web.xml先只配置一个过滤器,去掉其他过滤器:
在浏览器中输入地址http://localhost:9999/a/b/c并打开,会跳到登录页面,也就是XML中配置的casServerLoginUrl,并加上一个用于返回登录前页面的参数,这个参数由XML配置的serverName加上路径/a/b/c生成,即http://localhost:8080/cas/login?service=http://localhost:9999/a/b/c。再次页面输入用户名、密码登录,如果登录成功,则跳转到service参数指定的页面,并加上一个参数ticket,即http://localhost:9999/a/b/c?ticket=ST-12-1XGQRUtFnwtqQxdNLOdv-cas01.example.org。
这里可以再测试一下AuthenticationFilter是否校验ticket合法性。例如在浏览器中打开http://localhost:9999/a/b/c?ticket=123,其中ticket参数是随便写的,肯定不是合法的,但是访问可以直接进入页面,不再需要登录。也就是AuthenticationFilter只判断ticket是否为空,并不校验是否合法。
2、TicketValidationFilter
由于TicketValidationFilter、Cas20ProxyReceivingTicketValidationFilter都继承自AbstractTicketValidationFilter,下面看AbstractTicketValidationFilter中的doFilter方法源码:
01.
public final void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throwsIOException, ServletException {
02.
03.
if (!preFilter(servletRequest, servletResponse, filterChain)) {
04.
return;
05.
}
06.
07.
final HttpServletRequest request = (HttpServletRequest) servletRequest;
08.
final HttpServletResponse response = (HttpServletResponse) servletResponse;
09.
final String ticket = CommonUtils.safeGetParameter(request, getArtifactParameterName());
10.
11.
// 如果ticket不为空,则校验此ticket,否则直接跳过此过滤器
12.
if (CommonUtils.isNotBlank(ticket)) {
13.
if (log.isDebugEnabled()) {
14.
log.debug("Attempting to validate ticket: " + ticket);
15.
}
16.
17.
try {
18.
// 校验ticket,校验失败抛出异常
19.
final Assertion assertion = this.ticketValidator.validate(ticket, constructServiceUrl(request, response));
20.
21.
if (log.isDebugEnabled()) {
22.
log.debug("Successfully authenticated user: " + assertion.getPrincipal().getName());
23.
}
24.
25.
request.setAttribute(CONST_CAS_ASSERTION, assertion);
26.
27.
if (this.useSession) {
28.
// 设置session中的CONST_CAS_ASSERTION(即"_const_cas_assertion_")属性
29.
request.getSession().setAttribute(CONST_CAS_ASSERTION, assertion);
30.
}
31.
onSuccessfulValidation(request, response, assertion);
32.
33.
if (this.redirectAfterValidation) {
34.
log. debug("Redirecting after successful ticket validation.");
35.
36.
// URL去掉ticket参数并跳转
37.
response.sendRedirect(constructServiceUrl(request, response));
38.
return;
39.
}
40.
} catch (final TicketValidationException e) {
41.
response.setStatus(HttpServletResponse.SC_FORBIDDEN);
42.
log.warn(e, e);
43.
44.
onFailedValidation(request, response);
45.
46.
if (this.exceptionOnValidationFailure) {
47.
throw new ServletException(e);
48.
}
49.
50.
return;
51.
}
52.
}
53.
54.
filterChain.doFilter(request, response);
55.
56.
}
通过源码可以看出这个过滤器的处理流程:
如果有ticket参数,校验ticket是否合法(不合法则异常:org.jasig.cas.client.validation.TicketValidationException: CAS Server could not validate ticket)。
如果合法则在session加入"_const_cas_assertion_",并再次跳转,这次跳转主要就是去掉ticket参数,即从http://localhost:9999/a/b/c?ticket=ST-12-1XGQRUtFnwtqQxdNLOdv-cas01.example.org跳转到http://localhost:9999/a/b/c。(这样做有个好处就是如果用户F5刷新页面,由于已经没有ticket参数,不会再次去校验ticket,而同一个ticket只能使用一次,再次去CAS服务器校验会出现TicketValidationException异常。)
如果没有ticket参数,则直接跳过此过滤器(没有ticket参数的话就一定是session中包含"_const_cas_assertion_"的属性,否则连第一个过滤器AuthenticationFilter都无法通过)。
整理一下整个登录流程:
第一次请求应用服务器:
当用户第一次访问应用服务器的URL,由于session中没有"_const_cas_assertion_"且参数中没有ticket,会被AuthenticationFilter跳转到CAS服务器的登录页面。
第二次请求应用服务器:
在CAS服务器的登录页面成功登录以后,会跳转到应用服务器登录前的页面,但是加上了一个参数ticket。此次请求由于有ticket参数,通过了AuthenticationFilter,但是TicketValidationFilter会对ticket进行校验,校验成功后,会在session中加入"_const_cas_assertion_",再去掉ticket参数进行一次跳转。
第三次请求应用服务器:
此时由于session中已经有了"_const_cas_assertion_",会通过AuthenticationFilter,由于没有ticket参数,也通过了TicketValidationFilter,也就是可以正常显示出这个页面了。以后再请求应用服务器就和这次一样了,由于session包含"_const_cas_assertion_"即可正常访问。
3427
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
