cas server 4.0深度研究
一.体系结构
1.需要注意的几个配置文件
WEB-INF/deployerConfigContext.xml,WEB-INF/login-webflow.xml
2.AuthenticationManager
配置位置 deployerConfigContext.xml
主要涉及的方法是Authentication authenticate(final Credential... credentials),以及在authenticate方法中调用的AuthenticationBuilder authenticateInternal(final Credential... credentials)。
身份认证管理器,通过指定认证凭证的认证处理程序来定义认证的安全策略。3.5的时候实现类是 org.jasig.cas.authentication.AuthenticationManagerImpl , 4.0变为org.jasig.cas.authentication.PolicyBasedAuthenticationManager,这是3.5和4.0改变最大的原因。没有改造的必要,如果debug看代码从PolicyBasedAuthenticationManager的Authentication authenticate(final Credential... credentials) 方法开始。
3.Credential
配置位置 login-webflow.xml
由登陆提交的信息封装成的认证凭证,主要需要定制的内容,注意修改时同时需要修改login-webflow 中 viewLoginForm 的 binder
4.AuthenticationHandler
配置位置 deployerConfigContext.xml
主要涉及方法 String getName();
boolean supports(Credential credential) 判断是否由该AuthenticationHandler处理
HandlerResult authenticate(Credential credential) 传入封装好的
AuthenticationManager通过委托AuthenticationHandler(处理器)处理Credential(认证凭证)。认证该组件提供身份认证在您的环境中使用的各类证件。
注意:(1)每个处理器都需要一个唯一的名称。
(2)不同于3.5的AuthenticationHandler(包路径改变)中authenticate方法返回boolean值,4.0版本AuthenticationHandler中返回的是HandlerResult。
5.PrincipalResolver
配置位置 deployerConfigContext.xml
主要涉及方法 Principal resolve(Credential credential);
通过解析AuthenticationHandler(处理器)处理认证通过的Credential(认证凭证),构建Principal(认证结果)。
在4.0中可以不配置AuthenticationHandler对应的PrincipalResolver,这样,程序会调用AuthenticationHandler处理结果中HandlerResult的
6.Principal
一个通用概念,代表一个经过认证的东西。这里是认证结果的封装。
在这里是一个接口,SimplePrincipal是官方提供的一个实现。有两个方法 getId() 方法用于返回唯一标识,Map<String, Object> getAttributes()可以在重写后返回其它的属性,但是需要修改casServiceValidationSuccess.jsp,修改方法之前的文章中有过讲解,这里不再赘述。
结果属性中Map<String, Object> Object尽量不要放集合,casServiceValidationSuccess.jsp不好修改.
二.输入参数和返回值的订制
在 yale-cas服务器端深度定制 文章中已经介绍过3.5如何进行订制,这里主要说一下4.0不一样的地方
1.deployerConfigContext.xml
PolicyBasedAuthenticationManager中配置AuthenticationHandler的方式发生改变,现在可以向下面这样配置一个自定义的AuthenticationHandler。
上面说过可以不配置PrincipalResolver
<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager"> <constructor-arg> <map> <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver"/> <entry key-ref="myAuthenticationHandler"> <null/> </entry> </map> </constructor-arg> <property name="authenticationPolicy"> <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy"/> </property> </bean>
2.AuthenticationHandler
主要的认证工作和服务器端返回值都在AuthenticationHandler的authenticate方法中完成,注意 getName和 supports 两个方法也需要重写
@Override public HandlerResult authenticate(Credential credential) throws GeneralSecurityException, PreventedException { MyCredential myCredential = (MyCredential)credential; if (credential == null) { throw new FailedLoginException(); } else if (StringUtils.isBlank(credential.getId())) { logger.debug("{} was not found in the map.", credential); throw new AccountNotFoundException(credential + " not found in backing map."); } Map<String, Object> attributes = Maps.newHashMap(); attributes.put("中文KEY", "中文value"); attributes.put("空值key", ""); attributes.put("custom", myCredential.getCustom()); Principal principal = new SimplePrincipal(credential.getId(), attributes); return new HandlerResult(this, new BasicCredentialMetaData(credential), principal); }
3.login-webflow.xml
设置自定义Credential(认证凭证),MyCredential是一个只有有三个String属性username,password,custom的pojo
<var name="credential" class="com.gqshao.sso.credential.MyCredential" />
<binder> <binding property="username" /> <binding property="password" /> <binding property="custom" /> </binder>
4./WEB-INF/view/jsp/protocol/2.0/casServiceValidationSuccess.jsp
修改casServiceValidationSuccess.jsp,用于将Principal中Attributes发送到客户端
3.0展示不需要修改,因为没有对应3.0的客户端
<cas:user>${fn:escapeXml(assertion.primaryAuthentication.principal.id)}</cas:user> <!-- 解析返回的参数 Custom By SGQ --> <c:if test="${fn:length(assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes) > 0}"> <cas:attributes> <c:forEach var="attr" items="${assertion.chainedAuthentications[fn:length(assertion.chainedAuthentications)-1].principal.attributes}"> <cas:${fn:escapeXml(attr.key)}>${fn:escapeXml(attr.value)}</cas:${fn:escapeXml(attr.key)}> </c:forEach> </cas:attributes> </c:if> <!-- Custom By SGQ-->
5.WEB-INF/view/jsp/default/ui/casLoginView.jsp
<%@ page pageEncoding="UTF-8" %> <%@ page contentType="text/html; charset=UTF-8" %> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %> <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"/> <title>单点登录认证系统</title> </head> <body id="cas"> <c:if test="${not pageContext.request.secure}"> <div id="msg"> <h2>非安全连接</h2> <p>您正在通过非安全连接访问单点登录系统。单点登录将无法正常工作。为了单点登录正常工作,你必须通过HTTPS登录。</p> </div> </c:if> <form id="fm1" action="/cas-server/login" method="post"> <h2>请输入您的用户名和密码.</h2> <div> <label for="username">用户名:</label> <input id="username" name="username" type="text" value=""/> </div> <div> <label for="password">密码:</label> <input id="password" name="password" type="password" value=""/> </div> <div> <label for="custom">自定义:</label> <input id="custom" name="custom" type="text" value=""/> </div> <div> <input id="warn" name="warn" value="true" type="checkbox"/> <label for="warn">转向其他站点前提示我。</label> </div> <div> <input type="hidden" name="lt" value="${loginTicket}"/> <input type="hidden" name="execution" value="${flowExecutionKey}"/> <input type="hidden" name="_eventId" value="submit"/> <input name="submit" value="登录" type="submit"/> <input name="reset" value="重置" type="reset"/> </div> </form> </body> </html>
6.cas.properties
设置如下值用于单点登出,同3.5一致
cas.logout.followServiceRedirects=true
三.国际化管理
WEB-INF/spring-configuration/applicationContext.xml文件中bean id=messageSource配置国际化,可以修改路径
四.自定义登陆错误
AuthenticationHandler中通过throw Exception,比如throw new FailedLoginException();或throw new FailedLoginException();抛出异常,通过查看WEB-INF/cas-servlet.xml(bean 定义),WEB-INF/login-webflow.xml(流程定义)两个文件,发现最终交给 org.jasig.cas.web.flow.AuthenticationExceptionHandler 这个类处理异常。通过阅读源代码知道会按照不同的Exception对应国际化文件中的key来显示到WEB-INF/view/jsp/default/ui/casLoginView.jsp上的。
通过,WEB-INF/view/jsp/default/ui/casLoginView.jsp文件中
<form:form method="post" id="fm1" commandName="${commandName}" htmlEscape="true"> <form:errors path="*" id="msg" cssClass="errors" element="div" htmlEscape="false"/> </form:form>
form:errors标签打印提示,该标签必须放在form:form中
标记
1.测试时使用的客户端版本是3.3.1,单点登出时会出现下面的问题,3.3.0版本也会有这个问题,应该会在3.4.0版本中解决,在这里有提到 https://issues.jasig.org/browse/CASC-223
java.lang.NullPointerException at org.jasig.cas.client.util.CommonUtils.safeGetParameter(CommonUtils.java:330) at org.jasig.cas.client.session.SingleSignOutHandler.isTokenRequest(SingleSignOutHandler.java:114) at org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:66) at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:342) at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:110) ... ...
(cas-client 3.3.3 中已解决)
2.另外一个单点登出的问题是,登陆时参数service,里面的ip或地址必须是单点登陆服务器可以访问的有效地址,比如localhost这种就不可以使用。
3.中文值的问题,除了修改casServiceValidationSuccess.jsp将<%@ page session="false" %>修改为<%@ page session="false" language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>外,也要考虑Servlet容器编码
比如开发时采用maven tomcat插件,配置如下
<plugin> <groupId>org.apache.tomcat.maven</groupId> <artifactId>tomcat7-maven-plugin</artifactId> <version>2.2</version> <configuration> <path>/${project.build.finalName}</path> <keystoreFile>${project.basedir}/src/main/resources/ca/mykeystore.keystore</keystoreFile> <keystorePass>123456</keystorePass> <httpsPort>443</httpsPort> <port>8081</port> </configuration> </plugin>
实施时采用tomcat,需要修改/bin/catalina.bat文件,在下面第一行和第三行中间加入第二行,重点是-Dfile.encoding=UTF-8
rem ----- Execute The Requested Command --------------------------------------- set JAVA_OPTS=%JAVA_OPTS% -server -Dfile.encoding=UTF-8 -Xms512m -Xmx512m -XX:PermSize=128m -XX:MaxPermSize=256m echo Using CATALINA_BASE: "%CATALINA_BASE%"
上一篇: 冬瓜和什么一起吃比较好,你知道吗
下一篇: 简单的Spring整合Shiro
推荐阅读