spring security 整合 CAS

最新推荐文章于 2024-11-12 16:37:45 发布
原创 最新推荐文章于 2024-11-12 16:37:45 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring security #CAS #单点登录

本文详细介绍了如何将Spring Security与CAS Server整合,实现单点登录功能。内容包括配置Tomcat的HTTPS、配置CAS Server和CAS Client,以及相关证书的生成和导入。在CAS Server端,涉及了数据源的配置以及数据库用户验证。而在CAS Client端,配置了HTTPS端口、数据源以及Spring Security的配置,确保了用户权限的验证。整个过程旨在保障通信安全并实现一次登录即可访问多个应用的便捷性。

Spring security+CAS单点登录

Spring security 版本 3.2.4 

CAS Server版本  3.4.10

CAS client 版本 3.2.1

JDK 1.7

Tomcat 8.0

 

原理:

从结构上看,CAS 包含两个部分: CAS Server 和 CAS ClientCAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。图是 CAS 最基本的协议过程:

图 1. CAS 基础协议

 

CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket,如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。用户在第 步中输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket,并缓存以待将来验证,之后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted CookieTGC),CAS Client 在拿到 Service 和新产生的 Ticket 过后,在第 5步中与 CAS Server 进行身份合适,以确保 Service Ticket 的合法性。

在该协议中,所有与 CAS 的交互均采用 SSL 协议,确保ST 和 TGC 的安全性。协议工作过程中会有 次重定向的过程,但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。

另外,CAS 协议中还提供了 Proxy (代理)模式,以适应更加高级、复杂的应用场景,具体介绍可以参考 CAS 官方网站上的相关文档。

 

配置tomcat https 

本例是将CAS server 和 CAS client部署在不同的tomcat 上,首先需要为客户端和服务端的tomcat配置https协议:

SSL文件准备:
server.keystore——服务器端库文件
client.keystore——客户端库文件
server.cer——服务器端证书(自制)
client.cer——客户端证书(自制)
cacerts——证书链


1、生成服务器端库文件
keytool -genkey -v -alias server -keyalg RSA -keystore F:\server.keystore -validity 36500 

(输入密码,并输入你的名字和姓氏,组织名称,地区名称等,注意在填入 你的名字和姓氏CN的时候输入localhost)

 

2、导出服务器端证书
keytool -export -alias server -storepass 密码 -file F:\server.cer -keystore F:\server.keystore


3、生成客户端库文件
keytool -genkey -v -alias client -keyalg RSA -keystore F:\client.keystore -validity 36500 

(输入密码,并输入你的名字和姓氏,组织名称,地区名称等,注意在填入 你的名字和姓氏CN的时候输入localhost)


4、导出客户端证书
keytool -export -alias client -storepass 密码 -file F:\client.cer -keystore F:\client.keystore

 

5、导入服务器端证书到cacerts(cacerts是JDK下的jre的可信任证书仓库)
keytool -import -trustcacerts -alias server -file F:\server.cer -keystore ”%JAVA_HOME%\jre\lib\security\cacerts” -storepass changeit

6、
6、导入客户端证书到cacerts(cacerts是JDK下的jre的可信任证书仓库)
keytool -import -trustcacerts -alias server -file F:\server.cer -keystore ”%JAVA_HOME%\jre\lib\security\cacerts” -storepass changeit


将server.keystore、client.keystore、server.cer、client.cer、cacerts文件复制到cas服务器、cas客户机、cas客户机1的TOMCAT_HOME主目录及JAVA_HOEM\jre\lib\security目录下。

 

 

分别修改CAS server 和 CAS client的tomcat中的 conf/server.xml

修改CAS server的tomcat以下端口:

 <Connector useBodyEncodingForURI="true" URIEncoding="UTF-8" connectionTimeout="20000" port="8089" protocol="HTTP/1.1" redirectPort="8443"/>

   

   <Connector useBodyEncodingForURI="true" URIEncoding="UTF-8" SSLEnabled="true" acceptCount="100" clientAuth="false" 

   disableUploadTimeout="true" enableLookups="true" 

   keystoreFile="/server.keystore" keystorePass="wentao211()" 

   maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8443" 

   protocol="org.apache.coyote.http11.Http11Protocol" scheme="https" secure="true" 

   sslProtocol="TLS"/>

    <!-- Define an AJP 1.3 Connector on port 8009 -->

    <Connector port="8019" protocol="AJP/1.3" redirectPort="8443"/>

 

为了防止和CAS clienttomcat端口冲突,我将端口修改

 

 

修改CAS clienttomcat的端口:

  <Connector URIEncoding="UTF-8" connectionTimeout="20000" port="8088" protocol="HTTP/1.1" redirectPort="8445" useBodyEncodingForURI="true"/>

   

   <Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" clientAuth="false" disableUploadTimeout="true" enableLookups="true" keystoreFile="/client.keystore" keystorePass="wentao211()" maxSpareThreads="75" maxThreads="200" minSpareThreads="5" port="8445" protocol="org.apache.coyote.http11.Http11Protocol" scheme="https" secure="true" sslProtocol="TLS" useBodyEncodingForURI="true"/>

    <!-- Define an AJP 1.3 Connector on port 8009 -->

    <Connector port="8009" protocol="AJP/1.3" redirectPort="8445"/>

 

 

配置CAS Server

将下载的cas-server-3.4.10-release.zip 解压,把cas-server-3.4.10/modules下面的

cas-server-webapp-3.4.10.war拷贝到tomcat下的webapps下,然后启动tomcat;或者直接从myeclipse中导入war包,将其导入到myeclipse中,然后再发布到tomcat中,推荐使用后缀,因为我们需要继续对CAS server进行一些修改才能满足我们的需求:

 

1,我们需要使用数据源来对用户进行登陆验证,本例使用mysql作为数据库,所以需要拷贝一个mysql-connector-java-5.1.33-bin.jar和一个cas-server-support-jdbc-3.4.10.jarlib下面,

并且需要在数据库中建立一个表,用来存放用户数据,当然表中的字段可以根据需要新增,其中的字段名也是可以修改,只是需要在配置

deployerConfigContext.xml的数据源中字段查询的时候跟其对应上

 

然后修改/WEB-INF/deployerConfigContext.xml

<?xml version="1.0" encoding="UTF-8"?>

<beans xmlns="http://www.springframework.org/schema/beans"

xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"

xmlns:sec="http://www.springframework.org/schema/security"

xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd

       http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">

<bean id="authenticationManager" class="org.jasig.cas.authentication.AuthenticationManagerImpl">

<property name="credentialsToPrincipalResolvers">

<list>

<</

最低0.47元/天 解锁文章
16.Spring Boot 使用Spring security 集成CAS
编码语言Codelang
01-03 4万+
在上一篇中说了Spring Boot 使用Spring security,在这一篇中将讲讲Spring security 集成CAS
解锁Spring Security注解鉴权与CAS整合实践
weixin_44837153的博客
03-06 2121
在这个例子中,我们使用SimpleGrantedAuthority表示自定义权限,并在构造CustomUserDetails时进行相应的处理。在上述配置中,我们通过authenticationUserDetailsService()方法返回了一个自定义的AuthenticationUserDetailsService实现,用于从CAS验证结果中构建CustomUserDetails对象。在接口层面,我们可以使用Spring Security提供的注解鉴权功能,结合CAS验证结果的权限信息进行精细控制。
springSecurity集成cas
06-18
cas是Central Authentication Service的简写.提供中央认证服务,实现企业级单点登录.详细参考:http://blog.youkuaiyun.com/xiejx618/article/details/51703469
spring security 整合cas
极客on之路
03-23 4157
目录 1.1           配置登录认证 1.1.1     配置AuthenticationEntryPoint 1.1.2     配置CasAuthenticationFilter 1.1.3     配置AuthenticationManager 1.2           单点登出 1.3           使用代理 1.3.1     代理端 1.3.2    
Spring Security(20)——整合Cas
weixin_33979363的博客
01-13 192
整合Cas 目录 1.1 配置登录认证 1.1.1 配置AuthenticationEntryPoint 1.1.2 配置CasAuthenticationFilter 1.1.3 配置AuthenticationManager 1.2 单点登出 1.3 使...
Spring Security整合CAS的示例代码
08-27
在本文中,我们将探讨如何将Spring Security与中央认证服务(CAS)进行整合,以实现单点登录(SSO)功能。首先,我们注意到没有使用Spring Security提供的`spring-security-cas`模块,这可能是因为原生的jasig cas包...
spring boot整合CAS Client实现单点登陆验证的示例
08-28
Spring Boot 整合 CAS Client 实现单点登录验证的示例 Spring Boot 整合 CAS Client 是一种流行的解决方案,用于实现单点登录(Single Sign-On,简称 SSO)。在多个应用系统中,用户只需要登录一次就可以访问所有...
springboot+security+cas集成demo
11-23
在IT领域,Spring Boot、SecurityCAS都是非常重要的框架和工具,它们分别在不同的层面上为应用程序提供服务。本文将详细解析"springboot+security+cas集成demo"的相关知识点。 首先,Spring Boot是由Pivotal团队...
springsecurity整合cas客户端
funkMusic的博客
08-11 712
springsecurity整合cas客户端新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 新的改变 这几天都...
Spring Security整合CAS
热门推荐
new_ord的博客
11-15 1万+
CAS(中央认证服务) 从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。图1 是 CAS 最基本的协议过程: CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否
Spring Security集成CAS客户端实例
03-02
这是一个Spring Security集成CAS实现单点登录的客户端实例,使用Maven集成开发,项目中使用到的Oframer和otauser(CAS服务端)请至我的资源中寻找下载。
spring security --- 与cas 结合
大白鹅养殖基地的博客
03-23 589
1,新建springboot项目,引入spring security 包,springboot自动启动springsecurity 配置2,启动项目并访问会提示输入用户名和密码3,继承UserDetailsService,重写loaduserByUsername()方法,其中入参为登录传入的用户名,返回参数为new User(ss,password,grantedAuthorityList) 返回...
Spring Security系列】10分钟实现 SpringSecurity + CAS 完美单点登录方案
c18213590220的博客
11-12 4047
在本文中,我们将通过简单易懂的步骤,带领大家完成一个基于 Spring Security + CAS单点登录方案实现。无论您是初次接触 SSO,还是有一定经验的开发者,都能通过本篇教程快速掌握 CAS 的基本原理、部署方式,以及如何通过 Spring Security 实现应用的统一认证。同时,我们还会进行功能测试,确保单点登录效果满足预期。
Spring security集成CAS
韦军辉
08-31 960
什么是Spring security? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IOC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用...
spring security 集成cas
qq_37001186的博客
07-13 850
pom.xml增加 security.xml <!-- 指定登录入口为casEntryPoint --> <http auto-config="true" use-expressions="true" entry-point-ref="casEntryPoint"> <custom-filter ref="casAuthenticationFilter" position="CA
spring-security整合cas
JzCm__的博客
12-22 503
异常描述 异常解决 异常信息 No bean named 'springSecurityFilterChain' available 异常描述 Spring-security整合CAS 启动tomcat没有异常,访问服务器出现异常 异常代码 &lt;!-- 配置Spring MVC前端控制器(核心控制器) --&gt; &lt;servlet&gt; &lt;se...
spring security整合cas
远方的少年
04-15 835
    spring security提供了一个开源的单点登陆系统,就是cas(Central authentication system),在平常的企业开发中有广泛的应用。   第一步,配置AuthenticationEntryPoint,作为应用的登陆认证入口。  第二步,配置CasAuthenticationFilter,并将其放置在filter链表中CAS_FILTER的位置,已处理Cas...
cas介绍及与spring-security整合
x286129277的专栏
01-20 2202
一、单点登录CAS介绍 1.1 什么是单点登录CAS 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 1.2 单点登录的应用场景 在系统的开发过程中,如果个系统包含多个子系统,而这些子系统又共用一个认证数据库(可以理解为多个子系统登录的用户信息都保存在一个数据...
cas单点登录整合spring security
Ang_DD的专栏
10-13 8246
在学习security的过程中接触到了cas,并学习了cas的配置和整合security    Cas服务器端的配置     一、使用java keytool工具为系统生成Https证书,并注册 1.删除已有的证书 C:\Program Files\Java\jdk1.6.0_10\bin>keytool -delete -alias tomcat(随意起的别名) -keystore
spring security整合cas兼容表单登录
最新发布
08-16
Spring Security整合CAS(Central Authentication Service)并同时支持本地表单登录,可以通过灵活配置安全过滤器链来实现。CAS是一种常见的单点登录(SSO)协议,而本地表单登录则适用于非SSO场景下的用户认证。两者共存时,需确保CAS的认证流程与Spring Security的表单登录机制互不干扰。 ### 配置核心安全类 首先,创建一个继承自`WebSecurityConfigurerAdapter`的配置类,用于定义安全策略和认证流程。在此类中,需要分别配置CAS过滤器和表单登录的认证机制。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .addFilterBefore(new CasAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) .csrf().disable(); } } ``` 上述代码中,`CasAuthenticationFilter`是用于处理CAS认证的过滤器,它被插入到标准的`UsernamePasswordAuthenticationFilter`之前,以确保CAS请求优先处理。表单登录部分通过`.formLogin()`方法配置,指定登录页面路径并允许匿名访问。 ### 配置CAS认证 在整合CAS时,需要引入CAS客户端库,并配置`CasAuthenticationFilter`和`CasAuthenticationProvider`。此外,还需配置`ServiceProperties`以指定当前应用的服务URL。 ```java @Bean public ServiceProperties serviceProperties() { ServiceProperties serviceProperties = new ServiceProperties(); serviceProperties.setService("http://localhost:8080/login/cas"); serviceProperties.setSendRenew(false); return serviceProperties; } @Bean public CasAuthenticationFilter casAuthenticationFilter(ServiceProperties serviceProperties) throws Exception { CasAuthenticationFilter filter = new CasAuthenticationFilter(); filter.setServiceProperties(serviceProperties); return filter; } @Bean public CasAuthenticationProvider casAuthenticationProvider(CasServiceValidationAutoConfiguration casServiceValidationAutoConfiguration) { CasAuthenticationProvider provider = new CasAuthenticationProvider(); provider.setServiceProperties(serviceProperties()); provider.setTicketValidator(casServiceValidationAutoConfiguration.ticketValidator()); provider.setUserDetailsService(userDetailsService()); provider.setPasswordEncoder(NoOpPasswordEncoder.getInstance()); return provider; } ``` 在上述配置中,`CasAuthenticationProvider`负责验证CAS票据并获取用户信息,而`CasAuthenticationFilter`则拦截CAS回调请求并触发认证流程。 ### 兼容表单登录 为了确保表单登录仍然可用,需要在`HttpSecurity`配置中保留`.formLogin()`部分,并指定自定义的登录页面。同时,确保未被CAS过滤器处理的请求能够进入标准的Spring Security认证流程。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .loginProcessingUrl("/login-process") .defaultSuccessUrl("/home") .permitAll() .and() .addFilterBefore(casAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) .authenticationProvider(casAuthenticationProvider()) .csrf().disable(); } ``` 在上述配置中,`/login-process`是表单提交的目标URL,而`/login`是自定义的登录页面。通过`.authenticationProvider(casAuthenticationProvider())`将CAS认证提供者注册到安全配置中,确保其能够参与认证决策。 ### 处理用户认证流程 当用户访问受保护资源时,系统会根据请求路径判断是否属于CAS认证流程。如果是,则重定向到CAS服务器进行认证;否则,进入标准的表单登录流程。 CAS Server 在认证完成后,会将用户重定向回客户端应用的指定URL,并附带一个票据(Ticket Granting Ticket, TGT)。客户端应用通过验证该票据完成认证,并生成本地会话。 ```java // 示例:CAS认证成功后处理 String targetUrl = "http://cas.client.com/me"; String loginUrl = "http://cas.server.com/login?service=" + targetUrl; // 用户访问受保护资源时,若未认证,则被重定向至loginUrl ``` ### 总结 通过上述配置,可以在Spring Security中实现CAS认证与本地表单登录的兼容性。关键在于正确配置安全过滤器链,确保CAS过滤器与表单登录机制并存且互不干扰。此外,还需确保CAS Server与客户端应用之间的通信正常,并正确处理认证流程中的票据验证和会话管理[^2]。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值