CAS单点登录-客户端集成(cas-client)(九)

CAS 354 2017-09-30 11:50
<style> body.multimarkdown-preview, body.multimarkdown-wiki-preview { font-size: 11px; } </style>

CAS单点登录-客户端集成(cas-client)(九)

当我们把单点系统搭建好了,或者客户已经提供好了单点登录服务,往往会想,如何集成cas、如何能在业务系统上用cas(本章只讲cas协议,oauth2、SAML等后续)

但情况往往是这样的:

  • 业务系统已集成shiro
  • 业务系统已集成pac4j
  • 业务系统已集成spring security
  • 业务系统拥有自己一套鉴权机制

而需求一般都是这样的:

  • 当次请求是否需要login,未login跳转登录,否则允许通过
  • 当次请求是否满足权限要求,不满足输出异常
 

上述说得简单,但我们的使用时还是有一定的复杂度,例如:

  • 以其他用户身份操作时权限如何处理(权限代理)
  • restful、jwt方式鉴权(移动端使用)
 

但这博文很简单,完成两个目标:

  1. 如何使用cas-client
  2. 需要登录的跳转到登录页

Cas Client特性

  1. j2ee方式配置(配置web.xml的filter达到单点登录)
  2. saml协议认证方式
  3. spring、spring security的集成

当然除了这些还可以集成jetty、tomcat等等

回顾cas协议

cas client如何强大方便,都是遵循着cas协议进行认证,否则是不能完成工作的。

客户端地址:http://localhost:8080/sample cas服务地址:https://passport.com

协议流程:

  1. 若业务系统未登录,302到https://passport.com?service=http://localhost:8080/sample
  2. 用户提交用户名密码后,302到http://localhost:8080/sample?ticket=ABC123
  3. 业务系统验证ticket,并获取用户数据,https://passport.com/p3/serviceValidate?service=p3/serviceValidate?service&ticket=ABC123
  4. 成功获取用户数据
 

其实我们只关心两个阶段,其他都交给cas client去完成

  1. 请求的路径是否需要跳转到登录页
  2. 回来的用户是否能访问被请求资源

那么可想而知,肯定会有两个filter,其中包括:

  1. AuthenticationFilter(用于判断请求是否需要跳转到login及鉴权)
  2. CallbackFilter(用于cas回调用作校验ticket以及获取用户数据鉴权后302到第一次请求的url)
  3. LogoutFilter(退出时作单点退出)

上面说得非常啰嗦,下面马上来实战~

实战

查看CasClient官网Demo

直接看web.xml,最核心也是这个文件:

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>https://localhost:8443/cas</param-value>
        </init-param>
    </filter>

    <listener>
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    </listener>

    <filter>
        <filter-name>CAS Authentication Filter</filter-name>
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <param-value>https://localhost:8443/cas/login</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://localhost:8080/sample</param-value>
        </init-param>
    </filter>

    <filter>
        <filter-name>CAS Validation Filter</filter-name>
        
        <filter-class>org.jasig.cas.client.validation.Cas30ProxyReceivingTicketValidationFilter</filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>https://localhost:8443/cas</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://localhost:8080/sample</param-value>
        </init-param>
        <init-param>
            <param-name>redirectAfterValidation</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>useSession</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <filter-mapping>
        <filter-name>CAS Validation Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <filter-mapping>
        <filter-name>CAS Authentication Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <filter-mapping>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <welcome-file-list>
        <welcome-file>
            index.jsp
        </welcome-file>
    </welcome-file-list>
</web-app>

以上的核心点有两个:

  • serverName 客户端访问路径
  • casServerUrl cas服务路径

但上面的配置非常的简单,除了被排除的所有路径都会跳转进行登录

 

再加一个需求,判断路径是否需要跳转到登录页再跳转,那么不得不介绍一下AuthenticationFilter的一些简单配置:

|属性名|类型|备注|默认值|是否必须 |- |casServerUrlPrefix|string|cas服务路径||必须 |serverName|string|客户端访问路径||必须 |renew|boolean|验证成功是否新创建会话|true|非必须 |service|string|服务路径||非必须| |ignorePattern|string|忽略登录路径正则表达式||非必须 |ignoreUrlPatternType|string|忽略路径表达式类型(可以配置实现UrlPatternMatcherStrategy类路径)||非必须

自定义鉴权路径

好的,我们试试新增zhangsan.jsp(允许不登录)、wangwu.jsp必须登录 然后在实现UrlPatternMatcherStrategy进行判断

SimpleUrlPatternMatcherStrategy.java

/*
 * 版权所有.(c)2008-2017. 卡尔科技工作室
 */

package com.carl.auth.sso.client.demo;

import org.jasig.cas.client.authentication.UrlPatternMatcherStrategy;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * @author Carl
 * @date 2017/9/28
 * @since 1.5.0
 */
public class SimpleUrlPatternMatcherStrategy implements UrlPatternMatcherStrategy {
    protected final Logger logger = LoggerFactory.getLogger(getClass());

    @Override
    public boolean matches(String url) {
        logger.debug("访问路径:" + url);
        return url.contains("zhangsan.jsp");
    }

    @Override
    public void setPattern(String pattern) {
        
    }
}

认证过滤器配置调整:

<filter>
        <filter-name>CAS Authentication Filter</filter-name>
        <!--<filter-class>org.jasig.cas.client.authentication.Saml11AuthenticationFilter</filter-class>-->
        <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <param-value>https://passport.sso.com:8443/cas/login</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://localhost:8080</param-value>
        </init-param>
        <init-param>
            <param-name>ignoreUrlPatternType</param-name>
            <param-value>com.carl.auth.sso.client.demo.SimpleUrlPatternMatcherStrategy</param-value>
        </init-param>
        <init-param>
            <param-name>ignorePattern</param-name>
            <param-value>.*</param-value>
        </init-param>
    </filter>

尝试访问:http://localhost:8080/sample/zhangsan.jsp 不会转发到登录页 而:http://localhost:8080/sample/wangwu.jsp 会转发到登录页

#总结 本章讲解了cas-client如何使用,但我们实际上远远比这要复杂,当然我们这个demo也作为入门了解阶段学习,但目标很明确,要了解cas的整个转发过程

下一章内容比较多,会说常用shiro的集成,所以必须具备这章的知

下载代码尝试:GitHub 其他版本可以到GitHub或者码云查看

具体模块路径:sso-client-demo/sso-cas-client-demo

发现一些意外的事情可以考虑翻翻前面的博客进行学习哦

作者联系方式

如果技术的交流或者疑问可以联系或者提出issue。

邮箱:huang.wenbin@foxmail.com

QQ: 756884434 (请注明:SSO-CSDN)

文章评论