Cas 4.2.7 OAuth+Rest 实现SSO

关于Cas的认证原理、Rest的使用请参考前面的文章。本文重点阐述使用Rest接口登录系统和其余单点登陆系统打通遇到的问题，及解决问题的思路和过程。

 

 一： 遇到的问题

        使用Rest接口实现登录后，再访问其余使用Cas单点登录的系统时，Cas认定为当前用户未登录并要求登录。通过分析发现，当访问其余使用Cas单点登陆系统时Cas没法获取到当前客户端Cookie中的TGC，也就是说使用Rest接口实现登录Cas没法往客户端Cookie写入TGC。有关TGC的解析这里不详述。

     问题适用场景

1. 部分系统使用受权免登的方式进入到CAS单点登陆系统，同时又但愿能使用SSO切换到其余系统。
2. 部分业务系统有本身的登录页面，在本身的登录逻辑中调用Cas的Rest接口实现登录，同时但愿能使用SSO切换到其余系统

 

二： 解决问题过程

1. 分析Rest接口发现，调用 cas/v1/tickets/ 接口登录成功后cas返回了用户的身份信息TGT，那么TGT和TGC有什么关联呢？
2. 继续分析cas登录流程，Cas使用spring-webflow控制登录流程，找到WEB-INF/webflow/login/login-webflow.xml。在flow执行以前Cas先作了些处理，以下配置

   <on-start>
         <evaluate expression="initialFlowSetupAction"/>
   </on-start> 

   追踪到InitialFlowSetupAction类的doExecute方法发现核心代码：

   WebUtils.putTicketGrantingTicketInScopes(context,this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request));

   代码说明：当用户访问Cas登录页时，程序调用this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request)方法获取TGT并存放入当前做用域中。

 

         继续追踪到 CookieRetrievingCookieGenerator类的retrieveCookieValue方法中：

       

 　　　　try {
            final Cookie cookie = org.springframework.web.util.WebUtils.getCookie(
                    request, getCookieName());
            return cookie == null ? null : this.casCookieValueManager.obtainCookieValue(cookie, request);
        } catch (final Exception e) {
            logger.debug(e.getMessage(), e);
        }
        return null;

　　  代码说明：逻辑比较简单，直接从cookie中获取TGC(getCookieName()方法有兴趣能够追踪下看看)，若是TGC不为空，调用this.casCookieValueManager.obtainCookieValue(cookie, request)方法解析TGC获得TGT，问题逐渐明朗了，TGT是根据TGC获取到的。

 

 　　再追踪到DefaultCasCookieValueManager(为何选择DefaultCasCookieValueManager实现类，有兴趣能够追踪看看)类的obtainCookieValue方法中：

        final String cookieValue = this.cipherExecutor.decode(cookie.getValue());
        LOGGER.debug("Decoded cookie value is [{}]", cookieValue);
        if (StringUtils.isBlank(cookieValue)) {
            LOGGER.debug("Retrieved decoded cookie value is blank. Failed to decode cookie [{}]", cookie.getName());
            return null;
        }
 
        final String[] cookieParts = cookieValue.split(String.valueOf(COOKIE_FIELD_SEPARATOR));
        if (cookieParts.length != COOKIE_FIELDS_LENGTH) {
            throw new IllegalStateException("Invalid cookie. Required fields are missing");
        }
        final String value = cookieParts[0];
        final String remoteAddr = cookieParts[1];
        final String userAgent = cookieParts[2];
 
        if (StringUtils.isBlank(value) || StringUtils.isBlank(remoteAddr)
                || StringUtils.isBlank(userAgent)) {
            throw new IllegalStateException("Invalid cookie. Required fields are empty");
        }
 
        if (!remoteAddr.equals(request.getRemoteAddr())) {
            throw new IllegalStateException("Invalid cookie. Required remote address does not match "
                    + request.getRemoteAddr());
        }
 
        if (!userAgent.equals(request.getHeader("user-agent"))) {
            throw new IllegalStateException("Invalid cookie. Required user-agent does not match "
                    + request.getHeader("user-agent"));
        }
        return value;

　　　　代码说明：首先解密TGC后获得一个由@符号分隔的字符串，分隔后获取到TGT、客户端IP、客户端代理信息。并将从TGC中解密的客户端IP信息和客户端代理信息与当前请求的客户端IP信息和客户端代理信息进行比较，若不相等就抛出异常(Cas的安全策略)。

3. 回到问题的根源，当业务系统调用Cas的Rest接口实现登录，再切换到其余单点登陆系统时，先请求Cas的登录受权页面，当程序调用this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request)获取TGT时，此时客户端的TGC为空天然没法解析出TGT。       

4. 思考：既然调用Rest接口实现登录有返回TGT信息，是否能够再请求一遍Cas的登录受权页面并传入TGT信息，而后修改源码将TGT加密为TGC并加入到客户端的cookie中，此时Cas认定为当前用户为已登录并重定向回service地址。

5. Cas的登录受权页面须要改造获取传入的TGT信息，仍是须要到InitialFlowSetupAction类的doExecute方法进行处理

　　改造前：

        WebUtils.putTicketGrantingTicketInScopes(context, this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request));

　　改造后：

　　　　　String cookie = this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request);
        //增长从request中获取tgt
        if (cookie == null && request.getRequestURI().contains("/login")) {
            String tgt = request.getParameter("tgt");
            if (StringUtils.isNotBlank(tgt)) {
              HttpServletResponse response = WebUtils.getHttpServletResponse(context);
              //TGT生成为TGC并添加客户端cookie中
              this.ticketGrantingTicketCookieGenerator.addCookie(request, response, tgt);
              //tgt直接付值给cookie
              cookie = tgt;
            }
        }
        WebUtils.putTicketGrantingTicketInScopes(context,cookie);

　　将login-flow.xml中on-start配置修改成自定义的initialFlowSetupExAction

      <on-start>
              <evaluate expression="initialFlowSetupExAction"/>
      </on-start>

 

　　关于 this.ticketGrantingTicketCookieGenerator.addCookie(request, response, tgt);方法有兴趣的朋友能够追踪看看。

 

　　客户端改造：调用Cas的Rest接口登录成功后，解析出返回的TGT，并重定向到Cas的登录页面加上service和tgt参数便可

　　例：

       https://cas.xxxx.com/cas/login?service=https://xxx.xxxx.com&tgt=TGT-817-6QBDc0n7Impr0EguA3mFpaViSeTOEzsMbefbW629nZRihFznoH-cas01.example.org

 

 

望你们不吝指教，有任何错误、疑问多交流。 

 

版权声明：本文为博主原创文章，转载需注明出处。 http://www.cnblogs.com/bryanx/p/8588270.html