本文档介绍了在Windows域环境下,如何利用Spring Security Kerberos (SSK) 实现Integrated Windows Authentication (IWA)。主要内容包括SSK的功能,如Authentication Provider、Spnego Negotiate等,并详细阐述了配置IWA的关键步骤,包括SpnegoAuthenticationProcessingFilter的使用,KerberosServiceAuthenticationProvider的校验过程,以及在搭建过程中Windows Domain Controller的安装、keytab文件的生成和应用。
IWA: integrated windows authentication
简介:Windows域环境下,终端用户在使用电脑windows系统时已经通过域账户登录了,在使用一些application的时候,也想通过这种方式做认证,不需要在每个application再输入用户名密码。
Kerberos的认证原理貌似比较复杂,我也没看太懂,反正刚开始先用别人的封装把环境搭起来,这里使用了Spring Security Kerberos(以下简称SSK):
http://docs.spring.io/spring-security-kerberos/docs/1.0.1.RELEASE/reference/htmlsingle/
文档比较详细了,主要提供以下功能:
1. Authentication Provider
2. Spnego Negotiate
3. Using KerberosRestTemplate
4. Authentication with LDAP Services
在项目中使用了功能2,用户在访问我们登陆页面时,由SSK提供的Filter:SpnegoAuthenticationProcessingFilter负责检查用户Http Request中的Authorization Header,如果认证失败,会在entryPoint(SpnegoEntryPoint)的commence方法中执行以下代码,浏览器获取这个response后会自动发送kerberos ticket给当前url(这里流程可能不太严谨,没细看过negotiate的整个过程)
回到Filter,如果浏览器发来了kerberos ticket,就会有如下的逻辑去检查这个ticket:
简介:Windows域环境下,终端用户在使用电脑windows系统时已经通过域账户登录了,在使用一些application的时候,也想通过这种方式做认证,不需要在每个application再输入用户名密码。
Kerberos的认证原理貌似比较复杂,我也没看太懂,反正刚开始先用别人的封装把环境搭起来,这里使用了Spring Security Kerberos(以下简称SSK):
http://docs.spring.io/spring-security-kerberos/docs/1.0.1.RELEASE/reference/htmlsingle/
文档比较详细了,主要提供以下功能:
1. Authentication Provider
2. Spnego Negotiate
3. Using KerberosRestTemplate
4. Authentication with LDAP Services
在项目中使用了功能2,用户在访问我们登陆页面时,由SSK提供的Filter:SpnegoAuthenticationProcessingFilter负责检查用户Http Request中的Authorization Header,如果认证失败,会在entryPoint(SpnegoEntryPoint)的commence方法中执行以下代码,浏览器获取这个response后会自动发送kerberos ticket给当前url(这里流程可能不太严谨,没细看过negotiate的整个过程)
response.addHeader("WWW-Authenticate", "Negotiate");
response.setStatus(401);
回到Filter,如果浏览器发来了kerberos ticket,就会有如下的逻辑去检查这个ticket:
if ((header != nu
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
