cas server 4.0深度研究

时间 2019-11-24

标签 cas server 4.0 深度研究繁體版

原文原文链接

一.体系结构

1.须要注意的几个配置文件

WEB-INF/deployerConfigContext.xml,WEB-INF/login-webflow.xmlcss

2.AuthenticationManager

配置位置 deployerConfigContext.xmlhtml

主要涉及的方法是Authentication authenticate(final Credential... credentials)，以及在authenticate方法中调用的AuthenticationBuilder authenticateInternal(final Credential... credentials)。java

身份认证管理器，经过指定认证凭证的认证处理程序来定义认证的安全策略。3.5的时候实现类是 org.jasig.cas.authentication.AuthenticationManagerImpl ， 4.0变为org.jasig.cas.authentication.PolicyBasedAuthenticationManager，这是3.5和4.0改变最大的缘由。没有改造的必要，若是debug看代码从PolicyBasedAuthenticationManager的Authentication authenticate(final Credential... credentials) 方法开始。web

3.Credential

配置位置 login-webflow.xmlspring

由登录提交的信息封装成的认证凭证，主要须要定制的内容，注意修改时同时须要修改login-webflow 中 viewLoginForm 的 binder安全

4.AuthenticationHandler

配置位置 deployerConfigContext.xml服务器

主要涉及方法 String getName();session

boolean supports(Credential credential) 判断是否由该AuthenticationHandler处理app

HandlerResult authenticate(Credential credential) 传入封装好的jsp

AuthenticationManager经过委托AuthenticationHandler(处理器)处理Credential(认证凭证)。认证该组件提供身份认证在您的环境中使用的各种证件。

注意:(1)每一个处理器都须要一个惟一的名称。

(2)不一样于3.5的AuthenticationHandler(包路径改变)中authenticate方法返回boolean值，4.0版本AuthenticationHandler中返回的是HandlerResult。

5.PrincipalResolver

配置位置 deployerConfigContext.xml

主要涉及方法 Principal resolve(Credential credential);

经过解析AuthenticationHandler(处理器)处理认证经过的Credential(认证凭证)，构建Principal（认证结果）。

在4.0中能够不配置AuthenticationHandler对应的PrincipalResolver，这样，程序会调用AuthenticationHandler处理结果中HandlerResult的

6.Principal

一个通用概念，表明一个通过认证的东西。这里是认证结果的封装。

在这里是一个接口，SimplePrincipal是官方提供的一个实现。有两个方法 getId() 方法用于返回惟一标识，Map<String, Object> getAttributes()能够在重写后返回其它的属性，可是须要修改casServiceValidationSuccess.jsp，修改方法以前的文章中有过讲解,这里再也不赘述。

结果属性中Map<String, Object> Object尽可能不要放集合，casServiceValidationSuccess.jsp很差修改.

二.输入参数和返回值的订制

在 yale-cas服务器端深度定制文章中已经介绍过3.5如何进行订制，这里主要说一下4.0不同的地方

1.deployerConfigContext.xml

PolicyBasedAuthenticationManager中配置AuthenticationHandler的方式发生改变，如今能够向下面这样配置一个自定义的AuthenticationHandler。

上面说过能够不配置PrincipalResolver

<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager">
    <constructor-arg>
        <map>
            <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver"/>
            <entry key-ref="myAuthenticationHandler">
                <null/>
            </entry>
        </map>
    </constructor-arg>
    <property name="authenticationPolicy">
        <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy"/>
    </property>
</bean>

2.AuthenticationHandler

主要的认证工做和服务器端返回值都在AuthenticationHandler的authenticate方法中完成，注意 getName和 supports 两个方法也须要重写

@Override
public HandlerResult authenticate(Credential credential) throws GeneralSecurityException, PreventedException {
    MyCredential myCredential = (MyCredential)credential;
    if (credential == null) {
        throw new FailedLoginException();
    } else if (StringUtils.isBlank(credential.getId())) {
        logger.debug("{} was not found in the map.", credential);
        throw new AccountNotFoundException(credential + " not found in backing map.");
    }

    Map<String, Object> attributes = Maps.newHashMap();
    attributes.put("中文KEY", "中文value");
    attributes.put("空值key", "");
    attributes.put("custom", myCredential.getCustom());

    Principal principal = new SimplePrincipal(credential.getId(), attributes);
    return new HandlerResult(this, new BasicCredentialMetaData(credential), principal);
}

3.login-webflow.xml

设置自定义Credential(认证凭证)，MyCredential是一个只有有三个String属性username，password，custom的pojo

<var name="credential" class="com.gqshao.sso.credential.MyCredential" />

除了var credential外还要设置view-state id="viewLoginForm"中binder，与Credential中参数一一对应。

<binder>
    <binding property="username" />
    <binding property="password" />
    <binding property="custom" />
</binder>

4./WEB-INF/view/jsp/protocol/2.0/casServiceValidationSuccess.jsp

修改casServiceValidationSuccess.jsp，用于将Principal中Attributes发送到客户端

3.0展现不须要修改，由于没有对应3.0的客户端

<cas:user>${fn:escapeXml(assertion.primaryAuthentication.principal.id)}</cas:user>
<!-- 解析返回的参数 Custom By SGQ -->
<c:if test="${fn:length(assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes) > 0}">
    <cas:attributes>
        <c:forEach var="attr" items="${assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes}">
            <cas:${fn:escapeXml(attr.key)}>${fn:escapeXml(attr.value)}</cas:${fn:escapeXml(attr.key)}>
        </c:forEach>
    </cas:attributes>
</c:if>
<!-- Custom By SGQ-->

5.WEB-INF/view/jsp/default/ui/casLoginView.jsp

<%@ page pageEncoding="UTF-8" %>
<%@ page contentType="text/html; charset=UTF-8" %>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<!DOCTYPE html>
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/>
    <title>单点登陆认证系统</title>
</head>
<body id="cas">
<c:if test="${not pageContext.request.secure}">
    <div id="msg">
        <h2>非安全链接</h2>

        <p>您正在经过非安全链接访问单点登陆系统。单点登陆将没法正常工做。为了单点登陆正常工做，你必须经过HTTPS登陆。</p>
    </div>
</c:if>
<form id="fm1" action="/cas-server/login" method="post">
    <h2>请输入您的用户名和密码.</h2>

    <div>
        <label for="username">用户名:</label>
        <input id="username" name="username" type="text" value=""/>
    </div>
    <div>
        <label for="password">密码:</label>
        <input id="password" name="password" type="password" value=""/>
    </div>
    <div>
        <label for="custom">自定义:</label>
        <input id="custom" name="custom" type="text" value=""/>
    </div>
    <div>
        <input id="warn" name="warn" value="true" type="checkbox"/>
        <label for="warn">转向其余站点前提示我。</label>
    </div>
    <div>
        <input type="hidden" name="lt" value="${loginTicket}"/>
        <input type="hidden" name="execution" value="${flowExecutionKey}"/>
        <input type="hidden" name="_eventId" value="submit"/>
        <input name="submit" value="登陆" type="submit"/>
        <input name="reset" value="重置" type="reset"/>
    </div>
</form>
</body>
</html>

6.cas.properties

设置以下值用于单点登出，同3.5一致

cas.logout.followServiceRedirects=true

三.国际化管理

WEB-INF/spring-configuration/applicationContext.xml文件中bean id=messageSource配置国际化，能够修改路径

四.自定义登录错误

AuthenticationHandler中经过throw Exception，好比throw new FailedLoginException();或throw new FailedLoginException();抛出异常，经过查看WEB-INF/cas-servlet.xml（bean 定义），WEB-INF/login-webflow.xml（流程定义）两个文件，发现最终交给 org.jasig.cas.web.flow.AuthenticationExceptionHandler 这个类处理异常。经过阅读源代码知道会按照不一样的Exception对应国际化文件中的key来显示到WEB-INF/view/jsp/default/ui/casLoginView.jsp上的。

经过，WEB-INF/view/jsp/default/ui/casLoginView.jsp文件中

<form:form method="post" id="fm1" commandName="${commandName}" htmlEscape="true">
    <form:errors path="*" id="msg" cssClass="errors" element="div" htmlEscape="false"/>
</form:form>

form:errors标签打印提示，该标签必须放在form:form中

标记

测试时使用的客户端版本是3.3.1，单点登出时会出现下面的问题,3.3.0版本也会有这个问题，应该会在3.4.0版本中解决，在这里有提到 https://issues.jasig.org/browse/CASC-223

java.lang.NullPointerException
	at org.jasig.cas.client.util.CommonUtils.safeGetParameter(CommonUtils.java:330)
	at org.jasig.cas.client.session.SingleSignOutHandler.isTokenRequest(SingleSignOutHandler.java:114)
	at org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:66)
	at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342)
	at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:110)
... ...

另一个单点登出的问题是，登录时参数service，里面的ip或地址必须是单点登录服务器能够访问的有效地址，好比localhost这种就不能够使用。