CAS认证(3):验证用户信息

这篇文章主要是对用户提交的用户名及密码等进行认证。该过程相对简单一些,但我们更多的是学习他的设计思路。

上一篇文章中,我们在authenticationViaFormAction 中的submit方法中TGT的生成是通过

String tempTGT= this.centralAuthenticationService.createTicketGrantingTicket(credentials);

方法来生成的。

在该方法中,参数credentials就是对用户提交的认证信息的封装,该对象主要就是简单的包含了用户名和密码等。

那我们进详细的看一看该方法中逻辑行为吧。

CentralAuthenticationService 接口是CAS中的核心接口,他定了CAS中核心的一些行为。

createTicketGrantingTicket 该方法主要是验证认证信息,生成TGT。
grantServiceTicket 该方法主要是生成ST
validateServiceTicket 该方法主要是验证ST有效性。
destroyTicketGrantingTicket   该方法主要是销毁TGT
delegateTicketGrantingTicket  该方法主要是代理票据的生成

可以看到,这些都是认证流程中的核心方法。

该接口的默认实现是 CentralAuthenticationServiceImpl 。我们先来看一下createTicketGrantingTicket方法

final Authenticationauthentication = this.authenticationManager.authenticate(credentials);
finalTicketGrantingTicket ticketGrantingTicket= new TicketGrantingTicketImpl(
    this.ticketGrantingTicketUniqueTicketIdGenerator.getNewTicketId(TicketGrantingTicket.PREFIX),
    authentication, this.ticketGrantingTicketExpirationPolicy);
this.ticketRegistry.addTicket(ticketGrantingTicket);
return ticketGrantingTicket.getId();

这里可以看到, 代码中先是通过调用this.authenticationManager.authenticate方法对credentials进行验证。并返回验证结果 authentication。在这个过程中,如果验证出现问题,是会抛出异常的。

然后通过构建一个TicketGrantingTicketImpl 对象来形成TGT对应信息。之前说过,TGT是以cookie的形式存在的。那是在客户端浏览器中存在形式。在server端测试存在一个ticketGrantTicket对象的。这一点同session与jessionid的关系非常像。生成的tgt存储在ticketRegistry中。然后返回TGT。这里先不对ticket的生成和管理进行讲解,后面会详细的说明,这里继续讲解认证的过程。

 this.authenticationManager.authenticate(credentials);

我们要看一下该方法中的认证是怎么样的,首先要看一下这个类的结构是什么样的。CAS中对象的管理主要是通过spring的IOC实现的。关于认证的bean的配置主要是在deployConfigContext.xml中定义的。在该配置文件中

<bean id="authenticationManager" class="org.jasig.cas.authentication.AuthenticationManagerImpl">
<!--
    credentialsToPrincipalResolvers主要是干两件事儿,
    一是确认用户要授权,在默认配置中用的DefaultCredentialsToPrincipalResolver来填充角色
    二是用这些分解器确认一个服务请求代理票据验证。这个需要明确的是代理登录流程
+-->
  <property name="credentialsToPrincipalResolvers">
    <list>
       <!--
        这个UsernamePasswordCredentials是支持用户名密码登录的解析器。如果采用其他的认证方式,那么需要替换解析器。这种解析器需要支持这种认证方式
       +-->
       <bean class="org.jasig.cas.authentication.principal.UsernamePasswordCredentialsToPrincipalResolver">
          <property name="attributeRepository">
             <ref local="attributeRepository"/>
           </property>
       </bean>        

       <!--这个类是表示支持http或是https协议的。他可以从URL获取凭证,并且可以根据回调地址获取服务地址。如果采用其他的通讯协议,可以进行相应的替换+-->
       <bean class="org.jasig.cas.authentication.principal.HttpBasedServiceCredentialsToPrincipalResolver"/>
    </list>
  </property>

  <!-- 这里的list主要是维护了一个认证器链,用来对用户提交的认证信息进行认证。  +-->
  <property name="authenticationHandlers">
    <list>
       <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
          p:httpClient-ref="httpClient"/>
       <bean  class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
            <property name="dataSource"ref="dataSource" />
            <property name="sql"value="select USER_PASSWORD fromt_sso_userinfo where USER_NAME=? " />
       </bean>
    </list>
  </property>
</bean>

我们可以看到,在manager中,主要有两个list的属性:credentialsToPrincipalResolvers和authenticationHandlers

其中authenticationHandlers list主要是用来做认证用的。该list中所有的bean都需要实现AuthenticationHandler接口中的authenticate方法。用户提交认证请求之后,要满足该list中任意认证的条件才算是认证成功。每一个bean都可以配置自己的验证方式。所以,对于有多个认证方式的应用的时候,在这里自行组装认证条件就可以。

credentialsToPrincipalResolverslist属性主要是在验证成功之后,将用户属性提取出来。并传递到接入系统中。如果用户数据存储在存在多个数据源中,则在这里可以写多个属性提取器,分别将用户的属性提取出来,然后处理后传递给客户端。

下面我们就源码进行分析。查看AuthenticationManagerImpl.authenticateAndObtainPrincipal方法:

//通过验证器链对用户提供的认证信息进行认证
for (final AuthenticationHandlerauthenticationHandler : this.authenticationHandlers) {
    if(authenticationHandler.supports(credentials)) {
        foundSupported = true;
        if(!authenticationHandler.authenticate(credentials)) {
            。。。。。
        } else {
           。。。。。
            authenticatedClass =authenticationHandler;
            authenticated = true;
            break;
        }
    }
}

这里可以看到,就是对authenticationHandlers 进行遍历,如果通过认证,则break。

foundSupported = false;
//认证成功之后,通过认证信息,提取出用户的完整信息
for (finalCredentialsToPrincipalResolver credentialsToPrincipalResolver : this.credentialsToPrincipalResolvers) {
    if(credentialsToPrincipalResolver.supports(credentials)) {
        final Principal principal =credentialsToPrincipalResolver
           .resolvePrincipal(credentials);
        foundSupported = true;
        if (principal != null) {
            return new Pair<AuthenticationHandler,Principal>(authenticatedClass,principal);
        }
    }
}

这里对credentialsToPrincipalResolvers进行解析,一旦获取到用户的属性,则构建了一个新的Pair对象,该对象中有认证的类和用户属性。

下面,我们就深入org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler看一下该类是如何对用户进行认证的。

这里,我对这个类简单看一下,credentials是对认证请求的简单封装。当然可以获取到用户名和密码。然后将密码进行加密之后,同数据库查询的结果进行比对。

final Stringusername = getPrincipalNameTransformer().transform(credentials.getUsername());
final String password =credentials.getPassword();
final String encryptedPassword = this.getPasswordEncoder().encode(
    password);
try {
    final String dbPassword =getJdbcTemplate().queryForObject(this.sql, String.class,username);
    returndbPassword.equals(encryptedPassword);
} catch (finalIncorrectResultSizeDataAccessException e) {
    // this means the username was notfound.
    return false;
}

CAS中,对于数据库的操作主要都是使用spring的JdbcTemplate 来操作的。这里也不例外。

这里的业务逻辑比较简单。在回头看看这里的实现。他将能分离出来的组件全都独立出来。比如说密码加密算法。数据源,查询语句等。任何组件的更改不会对其他的组件产生影响。这就是面向对象的好处,这就是使用spring ioc的好处。

时间: 2024-10-14 16:06:37

CAS认证(3):验证用户信息的相关文章

【SSO单点系列】(4):CAS SERVER登录后用户信息的返回

接着上一篇,在上一篇中我们描述了怎么在CAS SERVER登录页上添加验证码,并进行登录.一旦CAS SERVER验证成功后,我们就会跳转到客户端中去.跳转到客户端去后,大家想一想,客户端总要获取用户信息吧,不然客户端是怎么知道登录的是哪个用户.那么客户端要怎么获取用户信息呢? 其实验证成功,跳转客户端这个过程中,CAS SERVER 会返回登录的相关信息给客户端,客户端只要进行获取,就能知道登录的具体是哪个用户了.不过CAS 默认只返回用户账号给客户端,那么怎么定义CAS SERVER返回的信

CAS学习笔记(三)—— SERVER登录后用户信息的返回

一旦CAS SERVER验证成功后,我们就会跳转到客户端中去.跳转到客户端去后,大家想一想,客户端总要获取用户信息吧,不然客户端是怎么知道登录的是哪个用户.那么客户端要怎么获取用户信息呢? 其实验证成功,跳转客户端这个过程中,CAS SERVER 会返回登录的相关信息给客户端,客户端只要进行获取,就能知道登录的具体是哪个用户了.不过CAS 默认只返回用户账号给客户端,那么怎么定义CAS SERVER返回的信息呢? 这就是本篇具体讲解的内容了,大家听我慢慢道来. 相关接口            

基于Spring oauth2.0统一认证登录,返回自定义用户信息

先看源码是如何处理的:   package org.springframework.boot.autoconfigure.security.oauth2.resource; import java.util.Collection; import java.util.Collections; import java.util.List; import java.util.Map; import java.util.Set; import org.apache.commons.logging.Log

【SSO单点系列】(4):CAS4.0 SERVER登录后用户信息的返回

接着上一篇,在上一篇中我们描述了怎么在CAS SERVER登录页上添加验证码,并进行登录.一旦CAS SERVER验证成功后,我们就会跳转到客户端中去.跳转到客户端去后,大家想一想,客户端总要获取用户信息吧,不然客户端是怎么知道登录的是哪个用户.那么客户端要怎么获取用户信息呢? 其实验证成功,跳转客户端这个过程中,CAS SERVER 会返回登录的相关信息给客户端,客户端只要进行获取,就能知道登录的具体是哪个用户了.不过CAS 默认只返回用户账号给客户端,那么怎么定义CAS SERVER返回的信

我们一起学习WCF 第三篇头消息验证用户身份

前言:今天我主要写的是关于头消息的一个用处验证用户信息 下面我画一个图,可以先看图 第一步:我们先开始做用户请求代码 首先:创建一个可执行的上下文对象块并定义内部传输的通道 using (OperationContextScope scope = new OperationContextScope(userClient.InnerChannel)) 然后:创建头消息 要发送的SOAP传输的内容 MessageHeader myHeaderUid = MessageHeader.CreateHea

Mvc4单点登录之四 配置Cas服务端,返回更多的用户信息!

        .Net单点登录详解 (SSO)        Mvc4单点登录之一Cas简单介绍        Mvc4单点登录之二 Cas server端配置            Mvc4单点登录之三Cas 客户端配置            前几篇博客大致的介绍了,cas的使用,在这篇博客当中,将为大家介绍一下如何配置服务端,让用户登录之后,返回更多的用户信息! 一.首先需要配置属性attributeRepository 首先,你需要到WEB-INF目录找到 deployerConfigC

Token认证,如何快速方便获取用户信息

背景 我们有一个Web项目,这个项目提供了很多的Rest API.也做了权限控制,访问API的请求必须要带上事先认证后获取的Token才可以. 认证的话就在Filter中进行的,会获取请求的Token进行验证,如果成功了可以得到Token中的用户信息,本文的核心就是讲解如何将用户信息(用户ID)优雅的传递给API接口(Controller). 方式一(很挫) 我们在Filter中进行了统一拦截,在Controller中获取用户ID的话,仍然可以再次解析一遍Token获取用户ID @GetMapp

微信公众号用户信息认证机制

又有一段时间没动笔了,确实工作后忙碌起来了,年末了,给大家拜年了,抽了这个空档把最近做的一个东西分享分享. 微信公众号,相信不少人已经有接触,其开发分为许多种,本次主要说的是,通过微信认证后的公众号(下图,),使用Oauth网页接口来获取用户信息的流程. 一.基础准备 首先,明确需求:有一个应用服务器,希望通过某个链接(菜单)进入此应用,在应用服务器端可以获得访问者的一些信息. 微信是不会直接让你在用户在访问应用服务器时直接取到用户信息的,而需要通过他们的专门的认证服务器来操作.作为开发者,目前

使用CAS登录模块连接数据库验证用户合法性

使用CAS登录模块连接应用数据库验证用户合法性 关于如何配置CAS登录模块集成到开发的Web Application请看这里: http://blog.csdn.net/jia20003/article/details/49683827 基于cas server 3.5.0版本配置实现. 这里我们主要讲述如何利用已经存在的用户数据表user_table中的username与password两个字段,实现用户从CAS模块登录时候查询我们应用数据库basicweb中的user_table表.验证用户