CAS 经验收集

最新推荐文章于 2024-07-01 17:15:57 发布
最新推荐文章于 2024-07-01 17:15:57 发布
阅读量1.8k 收藏 1
点赞数
文章标签: filter domain service security null tomcat
本文详细介绍了SSL协议的使用限制,特别是在使用域名而非IP地址进行证书验证方面的重要性。此外,还探讨了CAS认证中出现的具体异常及其解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1,非常遗憾,经过查证,SSL协议只支持domain name,也就是你可以用你的计算机名或者localhost,我用domain name做过测试,完全正确。

假如我的电脑ip为192.168.6.110,我的电脑名为netfly
那么,在生成证书的时候,就不能输入localhost,只能输入netfly,在其他电脑上,一样可以通过ip访问我的服务。比如说,输入
http://192.168.6.110:8080/YaleCASTest/hello.jsp
http://192.168.6.110:8080/YaleCASTest/servlet/RequestInfo

都可以返回正确的信息,不过,web.xml也要改改,如下:

 

代码
  1. <filter>  
  2.     <filter-name>CASFilter</filter-name>  
  3.     <filter-class>edu.yale.its.tp.cas.client.filter.CASFilter</filter-class>  
  4.     <init-param>  
  5.         <param-name>edu.yale.its.tp.cas.client.filter.loginUrl</param-name>  
  6.         <param-value>https://netfly:8443/cas/login</param-value>  
  7.     </init-param><!--这里的server是服务端的IP-->  
  8.     <init-param>  
  9.         <param-name>edu.yale.its.tp.cas.client.filter.validateUrl</param-name>  
  10.         <param-value>https://netfly:8443/cas/proxyValidate</param-value>  
  11.     </init-param><!--这里的serName是服务端的主机名,而且必须是-->  
  12.     <init-param>  
  13.       <param-name>edu.yale.its.tp.cas.client.filter.serverName</param-name>  
  14.       <param-value>netfly:8080</param-value><!--client:port就是需要CAS需要拦截的地址和端口,一般就是这个TOMCAT所启动的IP和port-->  
  15.     </init-param>  
  16. </filter>  

 2,CAS异常问题总结

严重: edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator [[edu.yale.its.tp.cas.client.ProxyTicketValidator prox
yList=[null] [edu.yale.its.tp.cas.client.ServiceTicketValidator casValidateUrl=[https://192.168.1.111:8443/cas/proxyValidate] ticket=[ST-0-9h7Mx5HK3pfsdxRv
MD3y] service=[http%3A%2F%2F192.168.1.222%3A8080%2Fservlets-examples%2Fservlet%2FHelloWorldExample] renew=false]]]


这个CAS异常是从CAS Client里面抛出,是当我们不使用证书的CN去访问域名的时候(比如下文是用IP访问而且证书的CN是该IP对应的域名而非该IP),CASClient无法信任,因为你证书的CN命名写着abc.com,192.168.1.111这个IP是无法被CAS Client识别。

edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator [[edu.yale.its.tp.cas.client.ProxyTicketValidator proxyList = [ null ] [edu.yale.its.tp.cas.client.ServiceTicketValidator casValidateUrl = [https: // 192.168.1.111:8443/cas/proxyValidate] ticket=[ST-0-9h7Mx5HK3pfsdxRvMD3y] service=[http%3A%2F%2F192.168.1.222%3A8080%2Fservlets-examples%2Fservlet%2FHelloWorldExample] renew=false]]]
    at edu.yale.its.tp.cas.client.CASReceipt.getReceipt(CASReceipt.java: 52 )
    at edu.yale.its.tp.cas.client.filter.CASFilter.getAuthenticatedUser(CASFilter.java: 455 )
    at edu.yale.its.tp.cas.client.filter.CASFilter.doFilter(CASFilter.java: 378 )
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java: 202 )
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java: 173 )
    at filters.ExampleFilter.doFilter(ExampleFilter.java: 101 )
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java: 202 )
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java: 173 )
    at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java: 213 )
    at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java: 178 )
    at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java: 432 )
    at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java: 126 )
    at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java: 105 )
    at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java: 107 )
    at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java: 148 )
    at org.apache.coyote.http11.Http11Processor.process(Http11Processor.java: 869 )
    at org.apache.coyote.http11.Http11BaseProtocol$Http11ConnectionHandler.processConnection(Http11BaseProtocol.java: 664 )
    at org.apache.tomcat.util.net.PoolTcpEndpoint.processSocket(PoolTcpEndpoint.java: 527 )
    at org.apache.tomcat.util.net.LeaderFollowerWorkerThread.runIt(LeaderFollowerWorkerThread.java: 80 )
    at org.apache.tomcat.util.threads.ThreadPool$ControlRunnable.run(ThreadPool.java: 684 )
    at java.lang.Thread.run(Thread.java: 595 )
Caused by: java.io.IOException: HTTPS hostname wrong:  should be  < 192.168 . 1.111 >
    at sun.net.www.protocol.https.HttpsClient.checkURLSpoofing(HttpsClient.java: 493 )
    at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java: 418 )
    at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java: 170 )
    at sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java: 905 )
    at sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java: 234 )
    at edu.yale.its.tp.cas.util.SecureURL.retrieve(SecureURL.java: 84 )
    at edu.yale.its.tp.cas.client.ServiceTicketValidator.validate(ServiceTicketValidator.java: 212 )
    at edu.yale.its.tp.cas.client.CASReceipt.getReceipt(CASReceipt.java: 50 )


解决办法:
用域名访问,域名就是证书的CN。

posted on 2006-09-05 18:20 david.turing 阅读(985) 评论(1)  编辑 收藏 引用 所属分类: Security异常问题

blade_sea
关注
服务部署后登陆页面提示无效的ticket_API接口的安全设计验证—ticket,签名,时间戳...
weixin_31001855的博客
01-13 1037
概述与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的方法生...
H3C CAS总结.zip
08-08
再者,“CAS经验案例”可能收集了来自实际使用中的成功案例和问题解决方案,涵盖各种场景,如教育、医疗、企业办公等。这些案例能帮助用户借鉴他人经验,避免重复试错,提高实施成功率。 “CAS配置指导”文件夹可能...
解决报错:edu.yale.its.tp.cas.client.IContextInit
11-09
解决普元EOS报错:edu.yale.its.tp.cas.client.IContextInit 下载后需jar到lib里面且单击右键在属性一栏的弹出框内添加该jar包即可解决爆粗
Yale CAS异常问题总结(2)Unable to validate ProxyTicketValidator之unable to find valid certification path to ...
David.turing's Security Blog
09-06 1880
edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator [[edu.yale.its.tp.cas.client.ProxyTicketValidatoproxyList = [ null ] [edu.yal...
Yale CAS异常问题总结(1)Unable to validate ProxyTicketValidator之HTTPS hostname wrong: should be........
David.turing's Security Blog
09-05 2285
严重: edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator [[edu.yale.its.tp.cas.client.ProxyTicketValidator proxyList=[null] [edu.yale.its.tp.cas.client.S...
HTTPS hostname wrong: should be <
personchen666的博客
08-01 1632
抓包发现,代码访问时服务端响应的证书为另一个(应该是有默认设置之类的),curl或浏览器是正确的证书===》https请求的时候,报文里没有带hostname,导致获取到的证书不对。https//your.host.name/ANTVHJ953/请求路径HTTPShostnamewrongshouldbe2.排查客户端能否正常发出其他路径===》无异常。正常访问服务域名是显示证书也是正确的,没有问题。1.最开始排查服务端是否异常===》无异常。...
H3C云计算CAS故障排查经验案例集汇总.rar
08-04
1. 日志分析:H3C CAS提供了丰富的日志功能,通过收集和分析各个组件的日志信息,可以定位故障发生的具体位置。 2. 状态监控:使用H3C CAS的监控工具,实时查看系统运行状态,包括CPU、内存、磁盘I/O、网络流量等,...
CAS配置[收集].pdf
10-11
CAS(Central Authentication Service)是Yelu大学研发的一个开源的SSO服务器,广泛用于实现跨域、跨平台的身份验证。本教程详细介绍了如何配置CAS服务器和客户端应用,以实现单点登录功能。 首先,教程涵盖了创建...
H3C 云计算CAS产品典型配置案例汇总集.rar
09-21
目录: H3C_CAS支持硬件SR-IOV操作指导书 H3C_CAS与趋势产品联调操作配置指导书 H3C_CAS虚拟机内存隔离操作指导书 H3C_CAS虚拟机搭建双机热备环境方案及报告 ) ...H3C_CAS_CVM日志文件收集操作指导书
CAS之Eclipse集成开发环境搭建[收集].pdf
10-11
### CAS之Eclipse集成开发环境搭建知识点解析 #### 一、概述 本文档旨在指导如何构建基于Eclipse的集成开发环境(IDE),该环境适用于软件开发项目,特别是那些与CAS (Central Authentication Service)相关的项目...
cas_client_boot_test_demo.
04-17
cas_client基于spring boot的测试demo,博客http://blog.csdn.net/zrk1000/article/details/51168550中使用
CAS认证失败
Black Monkey
05-23 2285
如果是配置域名的,CAS这个服务器要能够ping 得通这个域名
严重: Servlet.service() for servlet [default] in context with path [/a] threw exception [edu.yale.its.
方逸涛的专栏
11-25 2万+
严重: Servlet.service() for servlet [default] in context with path [/a] threw exception [edu.yale.its.tp.cas.client.CASAuthenticationException: Unable to validate ProxyTicketValidator [[edu.yale.its.tp.
SpringSecurity中文文档(Servlet CAS
最新发布
znjy111的博客
07-01 1260
JA-SIG 生产了一个名为 CAS 的企业级单点登录系统。与其它倡议不同,JA-SIG 的中央认证服务是开源的,广泛使用,易于理解,平台独立,并支持代理功能。Spring Security 完全支持 CAS,并为从单个应用程序部署的 Spring Security 迁移到由企业级 CAS 服务器保护的多个应用程序部署提供了简单的迁移路径。你可登入 www.apereo.org 了解更多有关 CAS 的资料。您还需要访问此站点来下载 CAS 服务器文件。
IDEA 程序包sun.net.www.protocol.https不存在问题解决
博客
11-18 2182
Error:(12, 34) java: 程序包sun.net.www.protocol.https不存在。
配置CAS单点登录出现拒绝连接 [https] Error M essage: 拒绝连接 (Connection refused)
自闭吉普赛的博客
12-29 2613
https://CAS服务端地址/serviceValidate?根据错误日志追踪源码,可知问题出现在客户端回调服务端ticket 验证阶段。改用ip再次curl 发现可达,大概知道原因了。检查客户端服务器是否正确配置CAS服务域名解析。:在客户端服务器hosts文件追加域名解析信息。单点可正常跳转,服务恢复正常。
解决sun.net.www.protocol.http.HttpURLConnection cannot be cast to javax.net.ssl.HttpsURLConnection
热门推荐
止木的专栏
10-19 4万+
在使用Https协议时,本地服务器运行正常调用,但是将项目部署到阿里云服务上时,报错sun.net.www.protocol.http.HttpURLConnection cannot be cast to javax.net.ssl.HttpsURLConnection解决方法:将 URL url= new URL(url); 改为 URL url= new URL(null, url, new
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值