文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

spring security3 之 C

2023-01-31 06:24

关注

Spring Security 和 CAS 交互流程

  1. web用户访问服务公共页面,没有涉及Spring Security和CAS

  2. 用户访问一个受保护的页面或页面中使用了一个受保护的bean,Spring Security的ExceptionTranslationFilter 发现异常AccessDeniedException 或AuthenticationException

  3. 用户的Authentication 对象(或缺少该对象)触发AuthenticationException,ExceptionTranslationFilter 将调用配置的AuthenticationEntryPoint,如果使用CAS,则调用的是CasAuthenticationEntryPoint 类

  4. CasAuthenticationEntryPoint 将用户浏览器跳转到CAS服务器,它指定了一个service参数,该参数是Spring Security服务的回调URL。例如,浏览器跳转的URL可能是https://my.company.com/cas/login?service=https%3A%2F%2Fserver3.company.com%2Fwebapp%2Fj_spring_cas_security_check

  5. 在用户浏览器调转到CAS后,将被提示输入用户名和密码,如果用户提供了一个session cookie表明之前登录过,将不再被提示登录。CAS将使用 PasswordHandler (如果使用CAS3.0则是AuthenticationHandler)判断用户名和密码是否有效

  6. 成功登陆,CAS将用户浏览器跳转到原来的服务。它将包含一个ticket参数,它是一个表示服务票据的加密字符串。延续我们之前的例子,浏览器跳转的URL可能是https://server3.company.com/webapp/j_spring_cas_security_check?ticket=ST-0-ER94xMJmn6pha35CQRoZ


  7. 回到web应用,CasAuthenticationFilter总是监听/j_spring_cas_security_check请求,这是可配置的,我们这里使用默认配置。该处理过滤器将构造一个表示服务票据的UsernamePasswordAuthenticationToken。其中principal属性的值是CasAuthenticationFilter.CAS_STATEFUL_IDENTIFIER,credentials属性的值是服务票据加密的值。然后这个认证请求将被配置的AuthenticationManager处理

  8. AuthenticationManager的实现是ProviderManager,它又由CasAuthenticationProvider实现。CasAuthenticationProvider只对包含了CAS特殊主体(如CasAuthenticationFilter.CAS_STATEFUL_IDENTIFIER)和CasAuthenticationTokens的UsernamePasswordAuthenticationTokens 做出响应。

  9. CasAuthenticationProvider 通过一个TicketValidator的实现类校验服务票据。典型的实现类是Cas20ServiceTicketValidator,它包含在CAS客户端库中。对于部分需要校验代理票据的应用,使用Cas20ProxyTicketValidator。TicketValidator 发送一个HTTPS请求到CAS服务器以校验服务票据。它可能还包含一个代理回调URL,该例中为:https://my.company.com/cas/proxyValidate?service=https%3A%2F%2Fserver3.company.com%2Fwebapp%2Fj_spring_cas_security_check&ticket=ST-0-ER94xMJmn6pha35CQRoZ&pgtUrl=https://server3.company.com/webapp/j_spring_cas_security_proxyreceptor

  10. 回到CAS服务器,校验请求将被接收。如果提供的服务票据和票据发布的服务URL相匹配,CAS将提供一个赞成的响应,并在XML中指定用户名。如果在认证中关联了任何代理,则XML响应中还包含代理的列表

  11. Cas20TicketValidator 解析从CAS服务器收到的XML,它给CasAuthenticationProvider 返回一个TicketResponse,其中包含用户名和代理列表

  12. 接下来CasAuthenticationProvider 调用一个配置的CasProxyDecider。CasProxyDecider 指出TicketResponse中包含的代理列表是否可以被服务所接受。Spring Security提供了一些它的实现,包括RejectProxyTickets、AcceptAnyCasProxy和NamedCasProxyDecider。这些名字很大程度都能自我解释,除了NamedCasProxyDecider,它允许一个被信任的代理列表

  13. CasAuthenticationProvider 接下来将请求AuthenticationUserDetailsService 去加载应用于包含在Assertion中用户的GrantedAuthority 对象

  14. 如果没有任何问题,CasAuthenticationProvider 将构造一个包含TicketResponse和GrantedAuthority 中所包含详情的CasAuthenticationToken。

  15. 然后控制权转交给CasAuthenticationFilter,它将创建的CasAuthenticationToken 放进security context中

  16. 用户浏览器被跳转到引起AuthenticationException 的原始页面(或者一个自定义目的地,这取决于配置)


Spring Security和CAS配置

<?xml version="1.0"encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<security:http entry-point-ref="casProcessingFilterEntryPoint" use-expressions="true" access-denied-page="/errors/403">
    <security:intercept-urlpattern="/resources/**" filters="none" />
    <security:intercept-urlpattern="/api/**" filters="none" />
    <security:intercept-urlpattern="/**" access="hasRole('ROLE_USER')" />
    <security:logout logout-success-url="${cas.auth.server}/logout?service=${cas.local.server}"/>
    <security:custom-filterref="casAuthenticationFilter" after="CAS_FILTER"/>
</security:http>
<security:authentication-manager alias="authenticationManager">
    <security:authentication-provider ref="casAuthenticationProvider"/>
</security:authentication-manager>

<bean id="securityContextPersistenceFilter"
class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
    <property name="securityContextRepository">
        <bean class="org.springframework.security.web.context.HttpSessionSecurityContextRepository">
            <property name="allowSessionCreation" value="false" />
        </bean>
    </property>
</bean>
    
<bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">
    <property name="authenticationManager" ref="authenticationManager"/>
    <property name="authenticationFailureHandler">
        <bean class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
             <property name="defaultFailureUrl" value="/errors/403"/>
        </bean>
    </property>
    <property name="authenticationSuccessHandler">
        <bean class="com.baidu.issue.internal.security.login.SimpleLoginSuccessHandler">
            <property name="defaultTargetUrl" value="/"/>
        </bean>
    </property>
    <property name="proxyGrantingTicketStorage"ref="proxyGrantingTicketStorage" />
    <property name="proxyReceptorUrl" value="/secure/receptor" />
</bean>

<bean id="casProcessingFilterEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint">
     <property name="loginUrl" value="${cas.auth.server}/login"/>
    <property name="serviceProperties" ref="serviceProperties"/>
</bean>

<bean id="casAuthenticationProvider" class="org.springframework.security.cas.authentication.CasAuthenticationProvider" autowire="byType">
    <property name="userDetailsService"ref="userDetailsService"/>
    <property name="serviceProperties" ref="serviceProperties" />
    <property name="ticketValidator">
        <bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
            <constructor-arg index="0" value="${cas.auth.server}" />
            <property name="proxyGrantingTicketStorage"ref="proxyGrantingTicketStorage" />
            <property name="proxyCallbackUrl" value="${cas.local.server}/secure/receptor" />
        </bean>
    </property>
    <property name="key" value="will_project"/>
</bean>

<bean id="proxyGrantingTicketStorage" class="org.jasig.cas.client.proxy.ProxyGrantingTicketStorageImpl"/>

<bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">
    <property name="service" value="${cas.local.server}/j_spring_cas_security_check"/>
    <property name="sendRenew" value="false"/>
</bean>
</beans>


阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯