統一認證 - Apereo CAS 客戶端的集成以及小結

原創 notechsolution 2019-02-24 02:40

前兩篇介紹了Apereo CAS以及服務器端的安裝,但還不夠完整,服務端還沒有Application真正用起來呢!這篇文章將介紹怎麼用起來

集成的目的

客戶端我們想要與Apereo CAS做什麼集成呢?回顧一下Apereo CAS是做什麼的?Apereo CAS的一個功能就是單點登錄,統一的登錄登出接口與頁面,讓系統中的模塊只需要關注在業務點,而把安全認證的功能交給統一認證來做。所以客戶端的集成主要是單點登錄的集成,客戶端指定需要做安全認證的頁面,然後Apereo CAS的安全包檢測校驗用戶登錄情況,並自動與CAS登錄頁面進行跳轉交互。

客戶端的配置

Apereo CAS提供了Springboot的包,可以讓我們的集成些微方便了那麼一丟丟!首先我們創建一個Springboot的application,裏面帶了Apereo CAS start的依賴

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-cas</artifactId>
</dependency>

同時在application.properties文件裏面指定啓動的端口 server.port = 9000

有了Apereo CAS的包之後,我們就可以進行代碼的配置。客戶端的配置按照SpringSecurity的安全檢驗流程進行的:

  1. 用戶嘗試打開一個受保護的url,比如/admin/user
  2. AuthenticationEntryPoint被觸發了,把用戶重定向到配置好的CAS登錄頁面https://localhost:6443/cas
  3. 用戶輸入用戶名密碼,登錄成功後, CAS會跳轉回application指定的回調url http://localhost:9000/login/cas, 並帶上ticket作爲查詢參數
  4. CasAuthenticationFilter一直在監聽/login/cas這個路徑,當發現有請求後,它會觸發CasTicketValidator,由CasTickerValidator檢驗ticket的有效性
  5. 當ticket也驗證成功後,用戶將會被跳轉回原來請求的受保護url

下面代碼大致描述了這個過程:

@Bean
public ServiceProperties serviceProperties() {
    ServiceProperties serviceProperties = new ServiceProperties();
    serviceProperties.setService("http://localhost:9000/login/cas");
    serviceProperties.setSendRenew(false);
    return serviceProperties;
}
 
@Bean
@Primary
public AuthenticationEntryPoint authenticationEntryPoint(
  ServiceProperties sP) {
  
    CasAuthenticationEntryPoint entryPoint
      = new CasAuthenticationEntryPoint();
    entryPoint.setLoginUrl("https://localhost:6443/cas/login");
    entryPoint.setServiceProperties(sP);
    return entryPoint;
}
 
@Bean
public TicketValidator ticketValidator() {
    return new Cas30ServiceTicketValidator(
      "https://localhost:6443/cas");
}
 
@Bean
public CasAuthenticationProvider casAuthenticationProvider() {
  
    CasAuthenticationProvider provider = new CasAuthenticationProvider();
    provider.setServiceProperties(serviceProperties());
    provider.setTicketValidator(ticketValidator());
    provider.setUserDetailsService(
      s -> new User("casuser", "Mellon", true, true, true, true,
        AuthorityUtils.createAuthorityList("ROLE_ADMIN")));
    provider.setKey("CAS_PROVIDER_LOCALHOST_9000");
    return provider;
}

@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    private AuthenticationProvider authenticationProvider;
    private AuthenticationEntryPoint authenticationEntryPoint;
    private SingleSignOutFilter singleSignOutFilter;
    private LogoutFilter logoutFilter;
 
    @Autowired
    public SecurityConfig(CasAuthenticationProvider casAuthenticationProvider, AuthenticationEntryPoint eP,
                          LogoutFilter lF
                          , SingleSignOutFilter ssF
    ) {
        this.authenticationProvider = casAuthenticationProvider;
        this.authenticationEntryPoint = eP;
 
        this.logoutFilter = lF;
        this.singleSignOutFilter = ssF;
 
    }
     
    // ...
 
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      auth.authenticationProvider(authenticationProvider);
    }
 
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
      return new ProviderManager(Arrays.asList(authenticationProvider));
    }
 
    @Bean
    public CasAuthenticationFilter casAuthenticationFilter(ServiceProperties sP) throws Exception {
      CasAuthenticationFilter filter = new CasAuthenticationFilter();
      filter.setServiceProperties(sP);
      filter.setAuthenticationManager(authenticationManager());
      return filter;
    }
}

下面這個文件配置了application中所有/secured/*,login的URL都是受保護資源,都要經過CAS認證過纔可以訪問:

@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
      http
        .authorizeRequests()
        .regexMatchers("/secured.*", "/login")
        .authenticated()
        .and()
        .authorizeRequests()
        .regexMatchers("/")
        .permitAll()
        .and()
        .httpBasic()
        .authenticationEntryPoint(authenticationEntryPoint);
    }
    // ...
}

服務端Apereo CAS的配置

跟所有統一認證平臺一樣,所有application想要跟CAS做集成的,都需要在CAS配置相應的參數纔可以使用。Apereo CAS提供了很多配置的方式,有YML,JSON, MongoDB以及其他(可查官網)。但高度自由的CAS一如既往的,沒有提供可視化操作的界面。比如我們採用JSON的方式。首先我們需要通知Apereo CAS我們採用的是JSON的方式,並通知JSON文件的路徑在哪裏

cas.serviceRegistry.initFromJson=true
cas.serviceRegistry.config.location=classpath:/services

然後我們在這個目錄裏面,創建一個對應的JSON文件,保存我們的客戶端信息,爲了方面管理,建議文件名爲 application_id.json, 比如"secureApp_9991.json", 內容如下:

{
    "@class" : "org.apereo.cas.services.RegexRegisteredService",
    "serviceId" : "^http://localhost:9000/login/cas",
    "name" : "CAS Spring Secured App",
    "description": "This is a Spring App that usses the CAS Server for it's authentication",
    "id" : 19991,
    "evaluationOrder" : 1
}

第一次配置從JSON加載客戶端配置的話,需要重啓Apereo CAS。之後再加新的客戶端的話就不用再重啓,Apereo CAS會自動監測這個文件夾的變動

小結

至此我們對於Apereo CAS就有了一個稍微完整一點點的瞭解,從服務端安裝部署,到配置,以及客戶端如何集成等。但從這個短時間的學習來看,如果企業已經重度使用了Apereo CAS,那相信它可以很好地服務支撐企業的應用。但如果是新的項目,特別是項目週期比較緊張的項目,並且團隊之前沒有對統一認證有技術積累的話,不是很建議採用Apereo CAS,這些細微的配置以及無所不在的隱藏功能,會讓你給項目經理催死的! 後面我會介紹另外一個統一認證的框架,個人感覺能彌補Apereo CAS的短板的

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Role-based Security with Forms Authentication

Introduction Forms Authentication in ASP.NET can be a powerful feature. With very little code and effort, you can have

liner0607 2020-07-08 03:01:05

SAST、DAST、IAST幾種測試工具的比較

在安全測試中都會遇到SAST(Static Application Security Testing )、DAST(Dynamic Application Security Testing )、IAST(Interactive Appli

jimmyleeee 2020-07-07 21:55:23

修改WebLogic控制檯密碼

首先在console控制檯myrealm菜單中選中要修改密碼的用戶[img]http://dl.iteye.com/upload/attachment

iteye_10692 2020-07-07 21:22:08

ubuntu系統安裝cacti

acti is a complete network graphing solution designed to harness the power of RRDTool’s data storage and graphing funct

love_tu 2020-07-07 17:32:53

nagios upgrade changelog

nagios 3.0.2 - nagios 3.2.0 從3.0.2到3.2.0的一些重要更新: 安全方面提示: Patches for possible XSS vulnerability in CGIs (CVE-2007-5803

justinyun 2020-07-07 07:15:18

WebSphere Portal Security

Initial Access Control Settings   When you install portal server , the installation program will ask you for administr

alexsuncam 2020-07-07 03:24:12

Read LTPA token with API

We have two options to do this     * Cookie: You can use the LtpaToken from the cookie. This approach works in all case

alexsuncam 2020-07-07 03:24:12

samba完美解決ubuntu中虛擬機無法與宿主共享

首先安裝 samba,也可以在新立得裏搜索安裝。sudo apt-get install sambasudo apt-get install smbfs下面我們來共享羣組可讀寫文件夾,假設你要共享的文件夾爲: /home/ray/shar

forestarmy 2020-07-07 00:32:54

Linq to sql(一) DataContext

首先要引用兩個命名空間: using System.Data.Linq.Mapping; using System.Data.Linq; //右擊“引用”選擇“添加引用” /*  * DataContext類型(數據上下文)是Syste

JRoger_ 2020-07-06 21:25:36

AOP觀念與術語

示例下載。 AOP全名爲Aspect-Oriented Programming,有關於AOP的許多名詞術語都過於抽象,單從字面上並不容易理解其名詞意義,這邊將以之前介紹代理機制的範例來逐一對照以介紹AOP的術語與觀念: <!--[i

wintersunair 2020-07-06 14:51:40

asp.net prepared for Interview (4)

ADO.NET Different between DataReader and DataSet: The DataReader object helps in retrieving the data from a database

zhangxiao86 2020-07-06 09:15:58

Ten things to do with IIS(From CodeProject website)

Introduction As an IIS administrator it sometimes gets downright annoying having to fend off all the insults from Apach

wangxi1240 2020-07-05 23:48:11

asp.net TreeView控件與數據庫連接

http://blog.sina.com.cn/s/blog_634a305f0100mry2.html 首先添加TreeView控件 using System; using System.Data; using System.Dat

immortal_mcl 2020-07-05 21:44:05

C#操作sql server

//1.創建連接字符串 string strCnn = "server=.;database=students;integrated security=true"; // string strCnn = "serve

wjv20110308 2020-07-05 18:43:00

IPsec SA creation steps

  IPsec SA creation steps  There are two steps on the IPsec SA creation, phase 1 is to creat IKE-SA, and phase 2 is to

nunogomes18 2020-07-05 17:15:16