基于Django集成CAS实现流程详解

前言

单点登录（single sign on，sso）是指在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。
有多种开源的单点登录方案，其中，cas（central authentication service）是yale university开发的、应用比较广泛的一种实现。

cas概述

cas 全称集中式认证服务(central authentication service)，是实现单点登录(sso)的一种手段。

对于本文用户可感知的层面，认证过程如下：

• 前端访问后端登录接口
• 后端返回重定向到 cas 服务器的登录页面，并携带当前用户访问的网页链接
• 用户登录，浏览器发送请求到 cas 服务器进行认证
• cas 认证通过，将本次登录保存到会话，返回回调地址给后端
• 后端返回重定向请求给前端
• 前端重定向到跳转登录前的页面
• 中间涉及到的 tgt 处理逻辑已经由开源 cas client(python-cas) 实现。
• 要注意，cas 服务器本身有一些过滤条件，例如域名白名单等，因此接入的时候需要将新系统的域名或 ip 加入 cas 服务端配置中。

接入 cas

因为是第一次接触 cas ，为了方便调试，我在本地直接启动一个 cas 服务端用于调试。

cas 客户端也就是集成于我们实际开发的django代码中。

cas 服务端配置

github 中有很多 cas 项目，我选了一个基于 django 的 django-mama-cas 应用。

创建 django-cas-server 项目：

django-admin startproject django-cas-server

安装 django-mama-cas 依赖：

pip install django-mama-cas

在 installed_apps 中添加 'mama_cas' 应用：

settings.py

settings.py
installed_apps = [
 ...
 'mama_cas',
]

添加 mama_cas 应用中的路由：

urls.py

urlpatterns += [url(r'', include('mama_cas.urls'))]

配置 cas 信息：

mama_cas_services = [
 {
  # 必填项，此项为**client** ip:port，相当于白名单
  'service': 'http://127.0.0.1:8000',
  # 回调模式，具体参考官方文档
  'callbacks': [
   'mama_cas.callbacks.user_model_attributes',
  ],
 },
]

使用

python manage.py runserver 0.0.0.0:9000

服务启动后，可以访问 http://0.0.0.0:9000/login 到达 cas 登录页面。

django-mama-cas 默认使用的是 django.auth 模块 user ，使用 django-admin 创建超级用户，该用户也就可以用于登录 cas ：

cas 客户端

python 有开源的 cas 客户端 python-cas ，由于我使用的 django 开发后端，因此直接选用封装好 python-cas 的 django 应用 django-cas-ng 。

先安装依赖：

pip install django-cas-ng

在 settings.py 中的 installed_apps 和 authentication_backends 两处添加 django-cas-ng 的配置：

settings.py

installed_apps = (
 # ... other installed apps
 'django_cas_ng',
)
 
authentication_backends = (
 'django.contrib.auth.backends.modelbackend',
 'django_cas_ng.backends.casbackend',
)

同时参考准备接入的 cas 地址和版本，添加几个对应的配置：

# cas 的地址
cas_server_url = 'http://127.0.0.1:30000'
# cas 版本
cas_version = '3'
# 存入所有 cas 服务端返回的 user 数据。
cas_apply_attributes_to_user = true

添加登入登出的路由（这两部分逻辑已由 django-cas-ng 完成，可以直接使用。如果需要扩展，可以参照源码自己实现即可）：

urls.py

import django_cas_ng.views as cas_views
urlpatterns = [
 ...
 path('login/', django_cas_ng.views.loginview.as_view(), name='cas_ng_login'),
 path('logout/', django_cas_ng.views.logoutview.as_view(), name='cas_ng_logout'),
]

调试

启动当前服务：

python manage.py runserver

访问 http://127.0.0.1:8000/login ，网页将会跳转到 http://127.0.0.1:30000/login?service=http://127.0.0.1:8000 cas 登录页面（注意端口不同），登录成功后将会跳转回来。

总结

cas 本身逻辑需要理解，但是毕竟是成熟的单点登录架构，一般都存在开源的客户端实现，代码量不多，多调试多参考文档配置即可。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。