Spring Security 和 CAS 交互流程
web用户访问服务公共页面,没有涉及Spring Security和CAS
用户访问一个受保护的页面或页面中使用了一个受保护的bean,Spring Security的
ExceptionTranslationFilter
发现异常AccessDeniedException
或AuthenticationException用户的
Authentication
对象(或缺少该对象)触发AuthenticationException,ExceptionTranslationFilter
将调用配置的AuthenticationEntryPoint,如果使用CAS,则调用的是CasAuthenticationEntryPoint
类CasAuthenticationEntryPoint
将用户浏览器跳转到CAS服务器,它指定了一个service参数,该参数是Spring Security服务的回调URL。例如,浏览器跳转的URL可能是https://my.company.com/cas/login?service=https%3A%2F%2Fserver3.company.com%2Fwebapp%2Fj_spring_cas_security_check在用户浏览器调转到CAS后,将被提示输入用户名和密码,如果用户提供了一个session cookie表明之前登录过,将不再被提示登录。CAS将使用
PasswordHandler
(如果使用CAS3.0则是AuthenticationHandler
)判断用户名和密码是否有效成功登陆,CAS将用户浏览器跳转到原来的服务。它将包含一个ticket参数,它是一个表示服务票据的加密字符串。延续我们之前的例子,浏览器跳转的URL可能是https://server3.company.com/webapp/j_spring_cas_security_check?ticket=ST-0-ER94xMJmn6pha35CQRoZ
回到web应用,CasAuthenticationFilter总是监听/j_spring_cas_security_check请求,这是可配置的,我们这里使用默认配置。该处理过滤器将构造一个表示服务票据的
UsernamePasswordAuthenticationToken。其中principal属性的值是CasAuthenticationFilter.CAS_STATEFUL_IDENTIFIER,credentials属性的值是服务票据加密的值。然后这个认证请求将被配置的AuthenticationManager处理
AuthenticationManager的实现是ProviderManager,它又由CasAuthenticationProvider实现。CasAuthenticationProvider只对包含了CAS特殊主体(如CasAuthenticationFilter.CAS_STATEFUL_IDENTIFIER)和
CasAuthenticationTokens的
UsernamePasswordAuthenticationToken
s 做出响应。CasAuthenticationProvider
通过一个TicketValidator的实现类校验服务票据。典型的实现类是Cas20ServiceTicketValidator,它包含在CAS客户端库中。对于部分需要校验代理票据的应用,使用Cas20ProxyTicketValidator。
TicketValidator
发送一个HTTPS请求到CAS服务器以校验服务票据。它可能还包含一个代理回调URL,该例中为:https://my.company.com/cas/proxyValidate?service=https%3A%2F%2Fserver3.company.com%2Fwebapp%2Fj_spring_cas_security_check&ticket=ST-0-ER94xMJmn6pha35CQRoZ&pgtUrl=https://server3.company.com/webapp/j_spring_cas_security_proxyreceptor回到CAS服务器,校验请求将被接收。如果提供的服务票据和票据发布的服务URL相匹配,CAS将提供一个赞成的响应,并在XML中指定用户名。如果在认证中关联了任何代理,则XML响应中还包含代理的列表
Cas20TicketValidator
解析从CAS服务器收到的XML,它给CasAuthenticationProvider
返回一个TicketResponse,其中包含用户名和代理列表接下来
CasAuthenticationProvider
调用一个配置的CasProxyDecider。CasProxyDecider
指出TicketResponse中包含的代理列表是否可以被服务所接受。Spring Security提供了一些它的实现,包括RejectProxyTickets、AcceptAnyCasProxy和NamedCasProxyDecider。这些名字很大程度都能自我解释,除了NamedCasProxyDecider,它允许一个被信任的代理列表CasAuthenticationProvider
接下来将请求AuthenticationUserDetailsService
去加载应用于包含在Assertion中用户的GrantedAuthority
对象如果没有任何问题,
CasAuthenticationProvider
将构造一个包含TicketResponse和GrantedAuthority
中所包含详情的CasAuthenticationToken。
然后控制权转交给CasAuthenticationFilter,它将创建的
CasAuthenticationToken
放进security context中用户浏览器被跳转到引起
AuthenticationException
的原始页面(或者一个自定义目的地,这取决于配置)
Spring Security和CAS配置
<?xml version="1.0"encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<security:http entry-point-ref="casProcessingFilterEntryPoint" use-expressions="true" access-denied-page="/errors/403">
<security:intercept-urlpattern="/resources/**" filters="none" />
<security:intercept-urlpattern="/api/**" filters="none" />
<security:intercept-urlpattern="/**" access="hasRole('ROLE_USER')" />
<security:logout logout-success-url="${cas.auth.server}/logout?service=${cas.local.server}"/>
<security:custom-filterref="casAuthenticationFilter" after="CAS_FILTER"/>
</security:http>
<security:authentication-manager alias="authenticationManager">
<security:authentication-provider ref="casAuthenticationProvider"/>
</security:authentication-manager>
<bean id="securityContextPersistenceFilter"
class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
<property name="securityContextRepository">
<bean class="org.springframework.security.web.context.HttpSessionSecurityContextRepository">
<property name="allowSessionCreation" value="false" />
</bean>
</property>
</bean>
<bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">
<property name="authenticationManager" ref="authenticationManager"/>
<property name="authenticationFailureHandler">
<bean class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
<property name="defaultFailureUrl" value="/errors/403"/>
</bean>
</property>
<property name="authenticationSuccessHandler">
<bean class="com.baidu.issue.internal.security.login.SimpleLoginSuccessHandler">
<property name="defaultTargetUrl" value="/"/>
</bean>
</property>
<property name="proxyGrantingTicketStorage"ref="proxyGrantingTicketStorage" />
<property name="proxyReceptorUrl" value="/secure/receptor" />
</bean>
<bean id="casProcessingFilterEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint">
<property name="loginUrl" value="${cas.auth.server}/login"/>
<property name="serviceProperties" ref="serviceProperties"/>
</bean>
<bean id="casAuthenticationProvider" class="org.springframework.security.cas.authentication.CasAuthenticationProvider" autowire="byType">
<property name="userDetailsService"ref="userDetailsService"/>
<property name="serviceProperties" ref="serviceProperties" />
<property name="ticketValidator">
<bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
<constructor-arg index="0" value="${cas.auth.server}" />
<property name="proxyGrantingTicketStorage"ref="proxyGrantingTicketStorage" />
<property name="proxyCallbackUrl" value="${cas.local.server}/secure/receptor" />
</bean>
</property>
<property name="key" value="will_project"/>
</bean>
<bean id="proxyGrantingTicketStorage" class="org.jasig.cas.client.proxy.ProxyGrantingTicketStorageImpl"/>
<bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">
<property name="service" value="${cas.local.server}/j_spring_cas_security_check"/>
<property name="sendRenew" value="false"/>
</bean>
</beans>