码迷,mamicode.com
首页 > 编程语言 > 详细

spring security3 之 CAS

时间:2014-10-19 17:14:51      阅读:313      评论:0      收藏:0      [点我收藏+]

标签:java   spring security   cas   

Spring Security 和 CAS 交互流程

  1. web用户访问服务公共页面,没有涉及Spring Security和CAS

  2. 用户访问一个受保护的页面或页面中使用了一个受保护的bean,Spring Security的ExceptionTranslationFilter 发现异常AccessDeniedException 或AuthenticationException

  3. 用户的Authentication 对象(或缺少该对象)触发AuthenticationException,ExceptionTranslationFilter 将调用配置的AuthenticationEntryPoint,如果使用CAS,则调用的是CasAuthenticationEntryPoint 类

  4. CasAuthenticationEntryPoint 将用户浏览器跳转到CAS服务器,它指定了一个service参数,该参数是Spring Security服务的回调URL。例如,浏览器跳转的URL可能是https://my.company.com/cas/login?service=https%3A%2F%2Fserver3.company.com%2Fwebapp%2Fj_spring_cas_security_check

  5. 在用户浏览器调转到CAS后,将被提示输入用户名和密码,如果用户提供了一个session cookie表明之前登录过,将不再被提示登录。CAS将使用 PasswordHandler (如果使用CAS3.0则是AuthenticationHandler)判断用户名和密码是否有效

  6. 成功登陆,CAS将用户浏览器跳转到原来的服务。它将包含一个ticket参数,它是一个表示服务票据的加密字符串。延续我们之前的例子,浏览器跳转的URL可能是https://server3.company.com/webapp/j_spring_cas_security_check?ticket=ST-0-ER94xMJmn6pha35CQRoZ


  7. 回到web应用,CasAuthenticationFilter总是监听/j_spring_cas_security_check请求,这是可配置的,我们这里使用默认配置。该处理过滤器将构造一个表示服务票据的UsernamePasswordAuthenticationToken。其中principal属性的值是CasAuthenticationFilter.CAS_STATEFUL_IDENTIFIER,credentials属性的值是服务票据加密的值。然后这个认证请求将被配置的AuthenticationManager处理

  8. AuthenticationManager的实现是ProviderManager,它又由CasAuthenticationProvider实现。CasAuthenticationProvider只对包含了CAS特殊主体(如CasAuthenticationFilter.CAS_STATEFUL_IDENTIFIER)和CasAuthenticationTokens的UsernamePasswordAuthenticationTokens 做出响应。

  9. CasAuthenticationProvider 通过一个TicketValidator的实现类校验服务票据。典型的实现类是Cas20ServiceTicketValidator,它包含在CAS客户端库中。对于部分需要校验代理票据的应用,使用Cas20ProxyTicketValidator。TicketValidator 发送一个HTTPS请求到CAS服务器以校验服务票据。它可能还包含一个代理回调URL,该例中为:https://my.company.com/cas/proxyValidate?service=https%3A%2F%2Fserver3.company.com%2Fwebapp%2Fj_spring_cas_security_check&ticket=ST-0-ER94xMJmn6pha35CQRoZ&pgtUrl=https://server3.company.com/webapp/j_spring_cas_security_proxyreceptor

  10. 回到CAS服务器,校验请求将被接收。如果提供的服务票据和票据发布的服务URL相匹配,CAS将提供一个赞成的响应,并在XML中指定用户名。如果在认证中关联了任何代理,则XML响应中还包含代理的列表

  11. Cas20TicketValidator 解析从CAS服务器收到的XML,它给CasAuthenticationProvider 返回一个TicketResponse,其中包含用户名和代理列表

  12. 接下来CasAuthenticationProvider 调用一个配置的CasProxyDecider。CasProxyDecider 指出TicketResponse中包含的代理列表是否可以被服务所接受。Spring Security提供了一些它的实现,包括RejectProxyTickets、AcceptAnyCasProxy和NamedCasProxyDecider。这些名字很大程度都能自我解释,除了NamedCasProxyDecider,它允许一个被信任的代理列表

  13. CasAuthenticationProvider 接下来将请求AuthenticationUserDetailsService 去加载应用于包含在Assertion中用户的GrantedAuthority 对象

  14. 如果没有任何问题,CasAuthenticationProvider 将构造一个包含TicketResponse和GrantedAuthority 中所包含详情的CasAuthenticationToken。

  15. 然后控制权转交给CasAuthenticationFilter,它将创建的CasAuthenticationToken 放进security context中

  16. 用户浏览器被跳转到引起AuthenticationException 的原始页面(或者一个自定义目的地,这取决于配置)


Spring Security和CAS配置

<?xml version="1.0"encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<security:http entry-point-ref="casProcessingFilterEntryPoint" use-expressions="true" access-denied-page="/errors/403">
    <security:intercept-urlpattern="/resources/**" filters="none" />
    <security:intercept-urlpattern="/api/**" filters="none" />
    <security:intercept-urlpattern="/**" access="hasRole(‘ROLE_USER‘)" />
    <security:logout logout-success-url="${cas.auth.server}/logout?service=${cas.local.server}"/>
    <security:custom-filterref="casAuthenticationFilter" after="CAS_FILTER"/>
</security:http>
<security:authentication-manager alias="authenticationManager">
    <security:authentication-provider ref="casAuthenticationProvider"/>
</security:authentication-manager>

<bean id="securityContextPersistenceFilter"
class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
    <property name="securityContextRepository">
        <bean class="org.springframework.security.web.context.HttpSessionSecurityContextRepository">
            <property name="allowSessionCreation" value="false" />
        </bean>
    </property>
</bean>
    
<bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">
    <property name="authenticationManager" ref="authenticationManager"/>
    <property name="authenticationFailureHandler">
        <bean class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
             <property name="defaultFailureUrl" value="/errors/403"/>
        </bean>
    </property>
    <property name="authenticationSuccessHandler">
        <bean class="com.baidu.issue.internal.security.login.SimpleLoginSuccessHandler">
            <property name="defaultTargetUrl" value="/"/>
        </bean>
    </property>
    <property name="proxyGrantingTicketStorage"ref="proxyGrantingTicketStorage" />
    <property name="proxyReceptorUrl" value="/secure/receptor" />
</bean>

<bean id="casProcessingFilterEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint">
     <property name="loginUrl" value="${cas.auth.server}/login"/>
    <property name="serviceProperties" ref="serviceProperties"/>
</bean>

<bean id="casAuthenticationProvider" class="org.springframework.security.cas.authentication.CasAuthenticationProvider" autowire="byType">
    <property name="userDetailsService"ref="userDetailsService"/>
    <property name="serviceProperties" ref="serviceProperties" />
    <property name="ticketValidator">
        <bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
            <constructor-arg index="0" value="${cas.auth.server}" />
            <property name="proxyGrantingTicketStorage"ref="proxyGrantingTicketStorage" />
            <property name="proxyCallbackUrl" value="${cas.local.server}/secure/receptor" />
        </bean>
    </property>
    <property name="key" value="will_project"/>
</bean>

<bean id="proxyGrantingTicketStorage" class="org.jasig.cas.client.proxy.ProxyGrantingTicketStorageImpl"/>

<bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">
    <property name="service" value="${cas.local.server}/j_spring_cas_security_check"/>
    <property name="sendRenew" value="false"/>
</bean>
</beans>


本文出自 “落地的过境鸟” 博客,请务必保留此出处http://fivedong.blog.51cto.com/1711530/1565676

spring security3 之 CAS

标签:java   spring security   cas   

原文地址:http://fivedong.blog.51cto.com/1711530/1565676

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!