CAS之改造

cas改造

关键字:

sso域名:passport.xiw.com

登陆地址(spring web flow):http://www.xiw.com/site/login

登陆地址(直接):https://passport.xiw.com/login?locale=zh_CN

退出地址:https://passport.xiw.com/logout

一、涉及模块

svn地址:


cas-client-core
http://svnxiw.xiw.com/Userend/passport/cas_client/cas-client-core

cas-server-core
http://svnxiw.xiw.com/Userend/passport/cas-server-3.5.2/cas-server-core

cas-server-webapp
http://svnxiw.xiw.com/Userend/passport/cas-server-3.5.2/cas-server-webapp

cas-server-support-jdbc
http://svnxiw.xiw.com/Userend/passport/cas-server-3.5.2/cas-server-support-jdbc

二、CAS 服务端的处理逻辑

CAS 服务端总共对外定义了9 个接口,客户端通过访问这9 个接口与服务端交互,这9个接口为:


接口
说明
备注

/login
认证接口

/logout
退出接口,负责销毁认证cookie

/captcha.htm(新增)
验证码认证功能接口
captchaImageCreateController

/registerAutoLogin(新增)
注册自动登录跳转接口
registerAutoLoginController

详细说明:

 /login:

登录流程这部分要考虑到不同种类用户凭证的获取方案,以及客户应用传来的service 、gateway 、renew 参数的不同取值组合,CAS 为了实现流程的高度可配置性,采用了Spring Web Flow 技术。通过CAS 发布包里的login-webflow.xml 、cas-servlet.xml 、applicationContext.xml 这3 个文件,找出 了登录有关的所有组件。

注:

1 : InitialFlowSetupAction: 是流程的入口。用 request.getContextPath() 的值来设置 cookie 的 Path 值, Cookie 的 path 值是在配置文件里定义的,但这个 Action 负责将 request.getContextPath() 的值设置为 Cookie 的 path 值,这是在 cas 部署环境改变的情况下,灵活地设置 cookie path 的方式;把 cookie 的值以及 service 参数的值放入 requestContext 的 flowscope 里。

2 : GenerateServiceTicketAction 此 Action 负责根据 service 、 GTC cookie 值生成 ServiceTicket 对象, ServiceTicket 的 ID 就是返回给客户应用的 ticket 参数,如果成功创建 ServiceTicket ,则转发到 WarnAction ,如果创建失败,且 gateway 参数为 true ,则直接redirect 到客户应用, 否则则需要重新认证。

3 : viewLoginForm 这是登录页面, CAS 在此收集用户凭证。 CAS 提供的默认实现是 /WEB-INF/view/jsp/simple/ui/casLoginView.jsp 。

4 : bindAndValidate 对应 AuthenticationViaFormAction 的 doBind 方法,该方法负责搜集登录页面上用户录入的凭证信息(用户名、密码等),然后把这些信息封装到 CAS 内部的 Credentials 对象中。用户在 casLoginView.jsp 页面上点击提交后,会触发此方法。

5:submit   对应 AuthenticationViaFormAction ImageVaditeAuthenticationViaFormAction的 submit 方法 , 如果 doBind 方法成功执行完, 则触发 submit 方法,此方法负责调用centralAuthenticationService 的      grantServiceTicket 方法,完成认证工作,如果认证成功,则生成 TicketGrantingTicket 对象,放在缓存里, TicketGrantingTicket 的 ID 就是 TGC Cookie 的 value 值。

6 : warn  CAS 提供了一个功能:用户在一个 web 应用中跳到另一个 web 应用时, CAS 可以跳转到一个提示页面,该页面提示用户要离开一个应用进入另一个应用,可以让用户自己选择。用户在登录页面 viewLoginForm 上选中了 id=”warn” 的复选框,才能开启这个功能。

WarnAction 就检查用户有没有开启这个功能,如果开启了,则转发到showWarnView, 如果没开启,则直接redirect 到客户应用。

7 :SendTicketGrantingTicketAction 此Action 负责为response 生成TGC Cookie ,cookie 的值就是 AuthenticationViaFormAction 的submit 方法生成的 TicketGrantingTicket 对象的 ID 。

8 : viewGenerateLoginSuccess CAS 的认证成功页面。

/logout: ( 对应实现类 org.jasig.cas.web.LogoutController )

处理逻辑:

    

  1.   1) removeCookie
    2. 

    3. 

  3.        2) 在服务端删除TicketGrantingTicket 对象(此对象封装了cookie 的value 值)
    4. 

    5. 

  5.        3 )redirect 到退出页面,有2 种选择:
    6. 

    7. 

  7.           if(LogoutController 的followServiceRedirects 属性为true 值,且url 里的service 参数非空){
    8. 

    9. 

  9.                 redirect 到 sevice 参数标识的url
    10. 

    11. 

  11.              }
    12. 

    13. 

  13.           else{
    14. 

    15. 

  15.              redirect 到内置的casLogoutView (cas/WEB-INF/view/jsp/default/ui/casLogoutView.jsp ),如果url 里有url 参数,则此url 参数标识的链接会显示在casLogoutView 页面上。
    16. 

    17. 

  17.            }
    18. 

    19. 

  19. /registerAutoLogin: ( 对应实现类 org.jasig.cas.web.RegisterAutoLoginController )
    20.

三、认证相关的概念及流程

概念

    

  1. Credentials 用户提供的用于登录用的凭据信息,如用户名/ 密码、证书、IP 地址、Cookie 值等。比如 UsernamePasswordCredentials ,封装的是用户名和密码。CAS 进行认证的第一步,就是把从UI 或request 对象里取到的用户凭据封装成Credentials 对象,然后交给认证管理器去认证。
    2. 

  2. AuthenticationHandler 认证Handler, 每种AuthenticationHandler 只能处理一种
    3. 

  3. Credentials ,如AbstractUsernamePasswordAuthenticationHandler 只负责处
    4. 

    5. 

  5. 理 U sernamePasswordCredentials 。
    6. 

    7. 

  7. Principal 封装用户标识,比如 SimplePrincipal, 只是封装了用户名。认证成功
    8. 

  8. 后, credentialsToPrincipalResolvers 负责由Credentials 生成 Principal 对象。
    9. 

    10. 

  10. CredentialsToPrincipalResolvers 负责由 Credentials 生成 Principal 对象,每
    11. 

  11. 种 CredentialsToPrincipalResolvers 只处理 一种Credentials ,
    12. 

    13. 

  13. 比如 UsernamePasswordCredentialsToPrincipalResolver 负责
    14. 

    15. 

  15. 从 U sernamePasswordCredentials 中取出用户名,然后将其赋给生成
    16. 

    17. 

  17. 的 SimplePrincipal 的 ID 属性。
    18. 

    19. 

  19. AuthenticationMetaDataPopulators 负责将 Credentials 的一些属性赋值
    20. 

  20. 给 Authentication 的 attributes 属性。
    21. 

    22. 

  22. Authentication   Authentication是认证管理器的最终处理结果, Authentication 封装
    23. 

  23. 了 Principal ,认证时间,及其他一些属性(可能来自 Credentials )。
    24. 

    25. 

  25. AuthenticationManager 认证管理器得到 Credentials 对象后,负责调度
    26. 

  26. AuthenticationHandler 去完成认证工作,最后返回的结果是 Authentication 对象。
    27. 

    28. 

  28. CentralAuthenticationService  CAS 的服务类,对 Web 层提供了一些方法。该类还负责调用 AuthenticationManager 完成认证逻辑。
    29.


login-webflow.xml 

    

  1. <!-- 验证码服务 simon 2013-10-26 修改这个  -->
    2. 

    3. 

  3. <view-state id="viewLoginForm" view="loginxiw" model="credentials">
    4. 

    5. 

  5. <binder>
    6. 

    7. 

  7. <binding property="username"/>
    8. 

    9. 

  9. <binding property="password"/>
    10. 

    11. 

  11. <binding property="code"/>
    12. 

    13. 

  13. </binder>
    14. 

    15. 

  15. <on-entry>
    16. 

    17. 

  17. <set name="viewScope.commandName" value="‘credentials‘"/>
    18. 

    19. 

  19. </on-entry>
    20. 

    21. 

  21. <transition to="realSubmit" on="submit" validate="true" bind="true">
    22. 

    23. 

  23. <evaluate expression="authenticationViaFormAction.doBind(flowRequestContext, flowScope.credentials)"/>
    24. 

    25. 

  25. </transition>
    26. 

    27. 

  27. </view-state>
    28. 

    29. 

  29. <!-- 验证码服务 simon 2013-10-26 替换这个     -->
    30. 

    31. 

  31.     <var name="credentials" class="org.jasig.cas.authentication.principal.CaptchaImageLoginCredentials" />
    32.

deployerConfigContext.xml

    

  1. <!--修改数据库验证 simon 2013-10-26-->
    2. 

    3. 

  3. <bean	class="org.jasig.cas.adaptors.jdbc.PassportxiwQueryDatabaseAuthenticationHandler">
    4. 

    5. 

  5. <property name="dataSource" ref="springDataSource"/>
    6. 

    7. 

  7. <property name="sql"
    8. 

    9. 

  9. value="select password from UserLogin where lower(userName) = lower(?) and isLock=0" />
    10. 

    11. 

  11. <property name="passwordEncoder" ref="md5PasswordEncoder" />
    12. 

    13. 

  13. <property name="updateSql" value="update UserLogin set lastLoginIP=?,lastLoginTime=? where lower(userName) = lower(?)" />
    14. 

    15. 

  15. </bean>
    16. 

    17. 

  17.  
    18. 

    19. 

  19. <!-- 修改数据库验证 simon 2013-10-26-->
    20. 

    21. 

  21. <bean id="springDataSource"
    22. 

    23. 

  23. class="org.springframework.jdbc.datasource.DriverManagerDataSource">
    24. 

    25. 

  25. <property name="driverClassName" value="com.mysql.jdbc.Driver"></property>
    26. 

    27. 

  27. <property name="url" value="jdbc:mysql://dbip/wxiw"></property>
    28. 

    29. 

  29. <property name="username" value="root"></property>
    30. 

    31. 

  31. <property name="password" value="root"></property>
    32. 

    33. 

  33. </bean>
    34. 

    35. 

  35.  
    36. 

    37. 

  37. <bean id="myPasswordEncoder"
    38. 

    39. 

  39. class="org.jasig.cas.authentication.handler.PlainTextPasswordEncoder" />
    40. 

    41. 

  41. <bean id="md5PasswordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder">
    42. 

    43. 

  43. <constructor-arg index="0" value="MD5" />
    44. 

    45. 

  45. </bean>
    46. 

    47. 

  47. <bean
    48. 

    49. 

  49. class="org.jasig.cas.authentication.principal.CaptchaImageLoginCredentialsToPrincipalResolver">
    50. 

    51. 

  51. <property name="attributeRepository" ref="attributeRepository" />
    52. 

    53. 

  53. </bean>
    54.

Web.xml

    

  1. <!-- 验证码服务 simon 2013-10-26 validate code-->
    2. 

    3. 

  3.     <servlet-mapping>
    4. 

    5. 

  5.     <servlet-name>cas</servlet-name>
    6. 

    7. 

  7.     <url-pattern>/captcha.htm</url-pattern>
    8. 

    9. 

  9.   </servlet-mapping>
    10. 

    11. 

  11. <!-- 注册自动登录 xiw 2014/7/23-->
    12. 

    13. 

  13.     <servlet-mapping>
    14. 

    15. 

  15.     <servlet-name>cas</servlet-name>
    16. 

    17. 

  17.     <url-pattern>/registerAutoLogin</url-pattern>
    18. 

    19. 

  19.   </servlet-mapping>
    20.

来源: <https://tower.im/projects/76c15260e1e84919bee3f18c2e41f1b6/docs/0816f172fcfb4b9ab259aaf7fc164024/>

来自为知笔记(Wiz)

时间: 2024-10-24 12:33:56

CAS之改造的相关文章

SSO单点登录在互联网电商应用中的解决方案(基于CAS的改造)

电商平台中无论是前端还是后端会存在大量的业务应用,在整个交易的过程中请求是在各个业务应用中流转的,对于用户来讲只需要登录一次就可以访问所有的业务,这就是单点登录SSO. 单点登录开源有很多的解决方案,比如基于session的SSO和基于cookie的SSO. 业界使用比较多的基于session的SSO的开源解决方案比如CAS,流程示意图如下: 这里不去详细说明流程,读者可以参考其他资料的说明 基于cookie的SSO在原理上和上面的差不多,区别是把用户设置到cookie中作为token的一部分进

单点登录CAS使用记(八):使用maven的overlay实现无侵入的改造CAS

编写中 单点登录CAS使用记系列: 单点登录CAS使用记(一):前期准备以及为CAS-Server配置SSL协议 单点登录CAS使用记(二):部署CAS服务器以及客户端 单点登录CAS使用记(三):实现自定义验证用户登录 单点登录CAS使用记(四):为登录页面加上验证码 单点登录CAS使用记(五):cas-client不拦截静态资源以及无需登录的请求. 单点登录CAS使用记(六):单点登出.单点注销 单点登录CAS使用记(七):关于服务器超时以及客户端超时的分析 单点登录CAS使用记(八):使用

CAS进行https到http的改造方案

先说具体的改造方案: 服务端: 一.CAS Server端的修改 1.找到cas\WEB-INF\deployerConfigContext.xml 对以下Bean增加参数p:requireSecure="false",该参数表示是否需要安全验证,即HTTPS,false为不采用,加上去之后如下: <!-- Required for proxy ticket mechanism. --> <bean id="proxyAuthenticationHandle

CRISPR–Cas系统,基因组改造新技术

zz: http://blog.sciencenet.cn/blog-614672-689702.html 有一种细菌编码的酶能够利用向导RNA(guide RNA)分子对特定的DNA片段进行定向切割,科学家们利用这种特点开发出了一种能够对基因组进行特异性定点改造的工具,对细胞乃至整个生物体进行基因组改造.目前已经利用这种技术对细菌.人体细胞以及斑马鱼进行过成功的遗传学改造工作. 日本大阪大学(Osaka University)的科研人员们曾经在1987年发表过一篇论文,不过这篇论文在当时并没有

cas改造随笔

原http://www.cnblogs.com/hellowood/archive/2010/08/05/1793364.html 键字: sso域名:cas.server.com 登陆地址(spring web flow):https://cas.server.com/cas/login 登陆地址(直接):https://cas.server.com/cas/directLogin 退出地址:https://cas.server.com/cas/logout 语言参数:locale=zh_CN

cas sso单点登录系列4_cas-server登录页面自定义修改过程(jsp页面修改)

转:http://blog.csdn.net/ae6623/article/details/8861065 SSO单点登录系列4:cas-server登录页面自定义修改过程,全新DIY. 目标: 下面是正文: 打开cas的默认首页,映入眼帘的是满眼的中文and英文混杂体,作为一名合格的用户,我表示很不开心. 于是,打开 Nodepad++,寻找C:\tomcat7\webapps\casServer\WEB-INF\view\jsp\default\ui \casLoginView.jsp这个页

CRISPR/Cas基因编辑技术最新研究进展

CRISPR/Cas系统是目前发现存在于大多数细菌与所有的古菌中的一种后天免疫系统,其以消灭外来的质体或者噬菌体并在自身基因组中留下外来基因片段作为“记忆”. CRISPR/Cas 系统全名为常间回文重复序列丛集/常间回文重复序列丛集关联蛋白系统(clustered regularly interspaced short palindromic repeats/CRISPR-associated proteins).目前已发现三种不同类型的 CRISPR/Cas系统,存在于大约40%和90%已测

Java并发框架——AQS阻塞队列管理(三)——CLH锁改造

在CLH锁核心思想的影响下,Java并发包的基础框架AQS以CLH锁作为基础而设计,其中主要是考虑到CLH锁更容易实现取消与超时功能.比起原来的CLH锁已经做了很大的改造,主要从两方面进行了改造:节点的结构与节点等待机制.在结构上引入了头结点和尾节点,他们分别指向队列的头和尾,尝试获取锁.入队列.释放锁等实现都与头尾节点相关,并且每个节点都引入前驱节点和后后续节点的引用:在等待机制上由原来的自旋改成阻塞唤醒.如图2-5-9-4,通过前驱后续节点的引用一节节连接起来形成一个链表队列,对于头尾节点的

[转]统一身份认证(CAS)简单说明与设计方案

统一身份认证(CAS)简单说明与设计方案(转) 1. 单点登录概述 所谓单点登录(SSO),只当企业用户同时访问多个不同(类型的)应用时,他们只需要提供自身的用户凭证信息(比如用户名/密码)一次,仅仅一次.SSO解决方案(比如,CAS)负责统一认证用户,如果需要,SSO也可以完成用户的授权处理.可以看出,当企业用户在不同的应用间切换时,他们不用再重复地输入自身的用户凭证了.在实施SSO后,所用的认证操作都将交给SSO认证中心.现有的SSO解决方案非常多,比如微软的MSN Passport便是典型