前后端分离下的CAS跨域流程

最新推荐文章于 2024-02-23 19:01:29 发布
最新推荐文章于 2024-02-23 19:01:29 发布
阅读量3.5k 收藏 5
点赞数 2
分类专栏: cas

前后端分离其实有两类:

  1. 开发阶段使用dev-server,生产阶段是打包成静态文件整个放入后端项目中。
  2. 开发阶段使用dev-server,生产阶段是打包成静态文件放入单独的静态资源服务器中,如nginx。

这两种方案最大的区别就是生产阶段。由于第一种方案前端和后端本质在同一个服务中的,所以压根就没有跨域,配置cas的坑比较少。而第二种方案我们一般使用nginx反向代理完成跨域,配置cas的坑会很多。为了后面分析方便,我们分别称上述两种方案为『前后端分离A』和『前后端分离B』

请求也分为两类:

1.HTTP请求:像浏览器地址栏发起的请求、浏览器自发的访问某个网址、Postman测试接口,这些行为其实都是发起的HTTP请求,不会有跨域问题。

2.AJAX(XMLHttpRequest)请求:这是浏览器内部的XMLHttpRequest对象发起的请求,浏览器会禁止其发起跨域的请求,主要是为了防止跨站脚本伪造的攻击(CSRF)。

难点分析

前后端分离、跨域、CAS这三项技术单独使用起来,甚至拿其中两个出来一起使用,难度都不大,下面来列举一下:

  1. 前后端分离(AB)+跨域
  2. 前后端分离A+CAS(因为A方案根本就没有跨域这一说)
  3. 前后端分离B+跨域+CAS

前后端分离(AB)+跨域

这个最简单,只有跨域,没有CAS,常见的CORS、反向代理、JSONP都可以解决

前后端分离A+CAS

坑:CAS认证过期,莫名出现跨域错误的问题

可能有人会问,刚才不是说方案A压根就没有跨域问题吗?其实,这个跨域错误不怪我们的后端,而是怪CAS那边的后端,待我详细说来。

正常情况下,CAS认证成功后,浏览器会设置好一个来自CAS的Cookie以维持与CAS的Session。之后每次请求,无论是ajax请求还是http请求,都会带上这个cookie。而我们自己的后端服务器也会有一个CAS Authorization的过滤器,把没有CAS认证过的请求重定向到CAS的login页面。因为本次请求我们带了cas的cookie,所以请求顺利通过filter来到controller层,进而返回数据。

但是考虑这样一个情况,今天你打开你的浏览器,访问一个你们新做的cms系统的网址,然后跳到cas login页面,正常登陆,正常使用。然后来到第二天早上,因为昨天的页面你没关,你直接点了一个查询按钮,结果报错了。你打开浏览器控制台,竟然发现报了一个跨域的错误。这里有两处困惑:

  1. 为什么他喵的会跨域呢?我们前后端命名部署在一台服务器上,是同域的啊。
  2. 为什么cas认证失效后,没有自动跳到cas登录页呢?可是我之前直接在浏览器输入cms系统的地址时,因为没认证过,浏览器是能直接跳到cas登录页的,为什么这次不行呢?
  3. ajax到底怎么处理302的

为什么会跨域:
想想一下这样的一个流程:第二天早上你来,点击一个查询按钮,发起了ajax请求,请求中带上了一个已经失效的cookie,然后请求被后端cas filter拦截,发现已失效,让后302跳转到cas login界面。在这个过程中,你之前发起的ajax请求其实被redirect到了cas的login.html页面(这只是表象,本质后面会提到)。你相当于发起ajax请求去请求一个html文件下来,然而cas的服务器并没有配置跨域,为了安全考虑也不能配置跨域,所以你的ajax请求还没来得及请求下来数据,你就被浏览器认为是跨域了,因为你的确在请求cas服务器的一个静态资源。

退一万步说,就算cas服务器配置了跨域,虽然你点击查询按钮的行为不会报跨域错误了,但你依然不能自动跳转到cas login页面,因为这个login.html直接当做你ajax的success中的回调参数回来了,浏览器是不会帮你跳转的。

为什么不能跳转:
首先,你打开浏览器输入cms系统的地址去访问的时候,发起的是HTTP请求,是不存在跨域问题的。因此你的HTTP请求被后端的filter给redirect到了cas的login.html,这个流程是没问题的。而你点击查询按钮,发起的是ajax请求,是没法跳转的(具体原因见下方文字)

ajax在302中的行为本质
当你点击查询按钮,发起的是ajax请求,请求被后端filter拦截,并告知你302跳转到login页,此时浏览器首先会感知到这次ajax请求的302状态,并替ajax去访问要跳转到的地址,然后将访问的结果(其实就是整个login.html页面)返回到你的ajax的success回调函数中,因此这个回调函数的参数其实就是整个login.html的页面。并且,直到浏览器把html放到ajax的success回调函数后,ajax才会真正的回调,之前的302状态ajax是感知不到的,当然也获取不到,所以想通过ajax判断status是否是302,进而手动location.href到login页的方案是不行的。

其实,这么看起来就像是你的ajax直接请求到了login.html页面。
另外,在实际cas跳转的过程中,在ajax的success回调之前,你的ajax操作就被浏览器认为是跨域了,所以你压根就没机会回调success,也因此获取不到status状态或者那个没卵用的login.html。

好了,疑惑解决完了,该说说解决方案了:

我们要实现的就是:在cookie失效时,点击查询按钮后,能自动跳转到cas登录页。
方案很多,但都靠一下两点:
用HTTP请求替代Ajax请求去跳转到登录页
用200代替302告知ajax当前请求的状态

举几个例子:

1、错误方案:设法拦截ajax的response,然后判断response的status是否是302,如果是302就手动location.href跳到cas登录页,但是这样是不行的,因为我们根本获取不到这个302状态。
2、必须要后端配合,后端需要额外加1个filter和1个controller, 起个名字吧,就叫ValidateFilter和ValidateController吧。

ValidateFilter只过滤那些需要被cas拦截的请求,在doFilter里面判断HttpServletRequest的状态,看看这个request里能不能获取到当前用户名,如果能获取到,代表认证没问题,让这个请求继续往下走chain.doFilter,如果不能获取到,代表认证失效了(因为filter不能直接返回,所以我们需要一个ValidateController),我们request.dispatch这个请求到ValidateController的redirect方法中(自己写的),让这个redirect方法返回一个result,result中设置一个标志,比如给code:xxx。

然后前端设法在ajax的response之前获取response的result,看看result的code是否为xxx,如果是,那就location.href跳转到cas登录页即可,其中service参数写cas登陆之后要回调的后端接口,然后让后端去跳转到前端页面。

为什么不能直接service写前端?
因为我们不仅要跟cas服务器维持session,还要跟我们自己的后端维持session,如果不回调后端,后端就不会感知到我们的登录状态了。

比如:

 

  1. //前端:

  2. if(result.code === xxx) {

  3. location.href = "http://cas.server.com/login?service=http://后端服务器地址/redirect/to/frontend?currentPath=当前页面路径"

  4. //currentPath是为了login之后再调回当前页面

  5. }

  6. //后端 filter 伪代码:

  7. void doFilter(request, response, chain) {

  8.  

  9. if(request中有用户名) {

  10. chain.doFilter()

  11. } else if(request.uri == '/redirect/to/caslogin') {

  12. chain.doFilter()

  13. } else {

  14. request.dispatch("/redirect/to/caslogin")

  15. }

  16. }

  17. //后端 controller 伪代码

  18. // 用来接受filter过来的那些认证失效的请求

  19. @path("/redirect/to/caslogin")

  20. String redirectToCasLogin(request, response) {

  21. return {

  22. "code": xxx

  23. }

  24. }

  25. // 用来在login之后回调用

  26. @path("/redirect/to/frontend")

  27. String redirectToFrontend(request, response) {

  28. String path = request中的currentPath参数

  29. request.sendRedirect(path)

  30. }

  31.  

  32. // 另外,这个controller一定不要被validateFilter过滤,因为如果这个controller也要被过滤,那就陷入cas验证的死循环了。

3.和2类似,但是location.href中直接写

location.href = "http://后端服务器地址/redirect/to/caslogin?currentPath=当前页面路径"

此时我们直接请求后端接口/redirect/to/caslogin,他首先被validateFilter拦截,但是因为有一个if判断,他被直接doFilter,然后请求来到了cas的Filter,因为没登录,该filter会自动拼接我们配置的cas serverName+当前请求的uri,同样会形成
"http://cas.server.com/login?service=http://后端服务器地址/redirec...径"这样的url。

前后端分离B+跨域+CAS

写不动了,总之要注意:要保持cookie的域一致

对于nginx,如果从 www.a.com/ 代理到 www.b.com/api,那么形成的cookie的域是会是/api,而浏览器发起请求时只能携带/域的cookie,所以导致cookie丢失,session失效。可以通过nginx配置,把/api域下的cookie都放到/即可解决。
为了避免额外的麻烦,最好保持代理前后url一致吧,即都有一个/api前缀,或者都没有。

对于浏览器,发起的ajax所带的cookie是发起请求的host域名有严格关系的,不同的域名带不同的cookie,所以如果出现,你明明已经登陆了,但是在此发起ajax请求,后端还是识别不出来你的登录状态,那就可能是你发起的请求的域名不一致了。也就是说,你去请求后端接口的时候用www.a.com,结果cas登陆成功后的要回调的接口成了www.b.com,这样你的cas登录状态的cookie就附着在www.b.com的域名上了,然后当你再发起www.a.com的请求的时候,发现你根本带不上cas下来的cookie,因为域不同。
这种情况通常发生在反向代理的时候,前端发起ajax请求代理服务器www.a.com,代理服务器发起请求到www.b.com,这时候就容易导致域名不一致,请一定要注意这点。

SpringBoot前后端分离整合cas
weixin_41358538的博客
05-26 1504
SpringBoot前后端分离整合cas
springboot前后端分离项目集成cas问题
qq_43348552的博客
02-23 2217
这次笔者在项目中碰到前后端分离环境下集成cas所遇到的问题,网上很多关于如何集成CAS的配置,这里不在过多赘述。 1.问题 问题描述 CAS拦截前端请求地址跳转到CAS服务端登录页面后会出现问题,根据网上找的解决办法都无效。 解决办法 我这里是写一个接口,接口里返回CAS服务端的请求地址,由前端进行跳转才解决的。 @GetMapping("/getCasUrl") public RestData getCasUrl(HttpServletRequest request) { //
vue+springboot前后端分离实现单点登录问题解决方法
08-28
主要介绍了vue+springboot前后端分离实现单点登录问题的解决方法,需要的朋友可以参考下
前后端分离下的CAS流程分析
weixin_34014555的博客
06-09 814
写在最前 前后端分离其实有两类: 开发阶段使用dev-server,生产阶段是打包成静态文件整个放入后端项目中。 开发阶段使用dev-server,生产阶段是打包成静态文件放入单独的静态资源服务器中,如nginx。 这两种方案最大的区别就是生产阶段。由于第一种方案前端和后端本质在同一个服务中的,所以压根就没有,配置cas的坑比较少...
前后端分离架构下的问题
sinat_37138973的博客
05-04 2075
来源: http://mp.weixin.qq.com/s?__biz=MjM5NTM1NDcyOQ==&mid=202557064&idx=1&sn=d24349248e5dd70e0d0bcdc0fb6e6ca5#rd 同源策略与 JSONP方式 反向代理方式 CORS方式 同源策略与 所谓,英文叫做cross-dom...
前后端分离或AJAX下的CAS-SSO流程分析
吴深深的博客
10-31 3263
前后端分离下的CAS流程分析 问题引入 CAS-SSO简介请参考文章CAS单点登录(一)——初识SSO,使用官方流程图描述了cas-service接入cas-server的一般流程。通过浏览器发送HTTP请求,服务端发送302跳转 指令进行登录验证。这种方式适合传统的单体项目,前后不分离,前端使用JSP或者其他模板引擎的方式。在这种情况下,前后不分离,不用做特殊处理,浏览器就会 把Cookie...
cas 前后端分离 重定向
宋大王的博客
03-04 2943
cas 前后端分离 重定向依赖配置文件配置类 依赖 <!-- --> <!-- https://mvnrepository.com/artifact/com.thetransactioncompany/java-property-utils --> <dependen...
cas】ruoyi vue前后端分离版本 cas集成
qq_31983635的博客
05-05 8287
ruoyi vue 前后端分离版本 cas集成
Springboot+SpringSecurity+CAS+Jwt+Mybatis+DM+Vue+Axios前后端分离问题解决(一)
jhack607的专栏
11-28 2571
技术标题:Springboot+SpringSecurity+CAS+Jwt+Mybatis+DM+Vue+Axios前后端分离 背景资料查询:网络上99%的文章大多是优快云、博客园、github、gitee、codercto、segmentfault、简书、 cnblogs、360doc、voidcn、https://spring.io/projects/spring-sec...
springboot+cas+前后端分离+问题解决
qq_33913957的博客
03-04 7959
单点登录CAS(一)搭建CAS - server服务器 CAS(一)搭建CAS - server服务器_Oumuv的博客-优快云博客_cas server环境要求JDK 8+CAS 5.2tomcat 8+about CAScas documenthttps://apereo.github.io/cas/5.2.x/index.htmlcas server 客户端模板下载https://github.com/apereo/cas-overlay-template步骤一、修改hosts文件,模拟...
前后端分离集成cas
04-30
springboot(springboot + shiro + oracle) + vue 集成cas
前后端分离项目(springboot+vue)接入单点登录cas
u011322072的博客
10-27 6127
前后端分离单点登录cas解决方案
前后端分离问题解决方案
weixin_53420085的博客
02-15 695
/* 没有养成写博客的习惯,时隔半年再次开始。最近在写毕业设计,“流感疫苗预约接种网站” ,我采用的是vue+springboot的前后端分离方式实现功能,在写的过程中遇到了很多问题并且大部分成功解决。 */ 前后端分离解决方案 1.重写WebMvcConfigurer(全局) public class CorsConfig implements WebMvcConfigurer {` @Override public void addCorsMappings(CorsRegistry regis
前后端分离下产生的问题对cookie无法存储和请求
zkk的博客
08-23 1772
最近公司在做使用cas实现单点登录的过程中,出现许多的坑,其中在前后端分离的架构背景下,由于问题导致的Cookie-session认证机制变得不太可行,其根本原因就是在不同源下,。
springboot+vue前后端分离适配cas认证的问题
atarik@163.com
02-23 1313
3)前端服务通过http请求拦截器将203状态码 , 然后以浏览器页面跳转的方式跳转到后台新定义的登录url(并携带最终认证后需要跳转的页面) http://localhost:8002/cims/login?2)后台服务cas拦截器验证未登录,(正常是跳转到cas登录, 前后端分离服务这里跳转会403CORS)将cas重定向修改为返回指定状态码203。5)cas服务页面登录成功后, 跳转回/login请求, /login请求会设置session信息,并重定向到最终的即, 最开始请求的那个url。
前后端分离(springboot+Vue)集成cas
qq_65642052的博客
08-08 5072
springboot+Vue实现前后端分离项目集成cas
Springboot和vue前后端分离项目接入cas单点登录,解决
明晓默的博客
03-08 6760
前后端分离项目接入cas单点的登录,解决
CAS单点登录及前后端分离方案
等等等等等再等
09-19 5566
目录1 cas原理及概念2 cas服务搭建(cas5.3.2)2.1 骨架搭建2.1.1 下载cas2.1.2 添加名映射2.1.3 tomcat的https访问2.1.4 启动CAS服务2.1.5 使用Overlay生成真正有用的服务端2.2 记住我2.2 自定义Credential、自定义AuthenticationHandler2.2.1 重写credential,继承RememberMeUsernamePasswordCredential,加上capcha属性。2.2.2 新建CustomWebf
CAS前后端分离思路,gateway绑定cas的TGT
weixin_43857522的博客
11-16 3189
思路讲解: 1. cas 可以将 TGT 存储到redis或者mysql. 这个TGT 是带有时间的 2. cas 开启监控页面后可以获取 st 和 TGT 的绑定信息 3. 用户登陆时,会携带 st 到 gateway 通过以上三点, 可以绑定一个自定义的token 给前端, 然后绑定到cas 存储到redis 的TGT,并将失效时间设置一致,这样每次 用户登陆都去查询是否为同一个TGT 颁发,来给前端不同的token,来实现单点登陆 1. 将cas的TGT 存储到redis 引入jar <d
若依框架前后端分离Secrity
最新发布
02-27
### 若依框架前后端分离 Security 配置详解 #### 安全配置概述 在若依框架的前后端分离架构中,安全机制主要通过 `SecurityConfig` 和 `CorsConfig` 类来实现。这些类位于项目的 config 层,负责处理认证授权以及资源共享 (CORS) 的设置[^1]。 #### 后端 Spring Security 配置调整 为了使后端能够适配 CAS 单点登录系统,在原有基础上进行了如下改动: - **添加必要的依赖项**:确保项目 pom.xml 或 build.gradle 文件里包含了 spring-security-cas 支持所需的库。 - **修改 application.yml/yml 中的相关属性**: ```yaml cas: server-url-prefix: https://cas.example.com/cas client-host-url: https://${server.address}:${server.port}/ login-path: /login/cas logout-path: /logout/cas service-ticket-parameter-name: ticket username-parameter-name: username ``` - **更新 SecurityConfig.java** - 注释掉原有的全局方法安全性启用注解 (`@EnableGlobalMethodSecurity`) 来避免冲突。 - 实现 CasAuthenticationProvider 并注册到 AuthenticationManagerBuilder 中以便于验证来自 CAS Server 的票据信息。 ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { private final CasProperties casProperties; @Autowired public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(casAuthProvider()); } // ...其他代码... } ``` - **创建自定义过滤器链** 创建一个新的 FilterChainProxy Bean 将其放置于默认的安全过滤器之前执行,用于处理 CAS 登录请求并解析 ST 票据。 ```java @Bean(name = "filterChainProxy") public FilterChainProxy filterChainProxy() { List<SecurityFilterChain> chains = new ArrayList<>(); DefaultListableBeanFactory beanFactory = context.getBean(DefaultListableBeanFactory.class); beansOfTypeIncludingAncestors(beanFactory, SecurityFilterChain.class).forEach((name, chain) -> chains.add(chain)); return new FilterChainProxy(chains.toArray(new SecurityFilterChain[chains.size()])); } ``` #### 前端 Vue.js 路由守卫与状态管理优化 针对前端部分,则需对 vue.config.js 进行 HTTPS 设置,并调整 .env.development 下的服务地址为 443 端口以匹配 SSL/TLS 加密传输需求;同时还要更改 permission.js 内部对于未鉴权用户的跳转路径判断逻辑,使之指向 CAS 提供的身份验证入口页;最后不要忘记同步修正 user.js Vuex Store 模块里的登出操作流程,使其可以正确清除本地存储的同时通知远程服务器注销当前会话[^2]。 #### Nginx 反向代理配置建议 当整个应用部署至生产环境时,推荐利用 NGINX 作为反向代理服务器来进行流量分发和服务隐藏。此时应编辑 nginx/conf.d/default.conf 文件移除预设规则集,代之以适应实际应用场景的新策略,比如指定上游微服务集群、开启 Gzip 数据压缩功能等措施提升性能表现[^3]。 ```nginx upstream backend { least_conn; server app01.example.com weight=5 max_fails=2 fail_timeout=30s; server app02.example.com backup; } server { listen 80; server_name www.example.org; location / { proxy_pass http://backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; add_header Strict-Transport-Security "max-age=63072000; includeSubdomains"; } gzip on; } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值