cas原理.docx
- 文档编号:12208112
- 上传时间:2023-04-17
- 格式:DOCX
- 页数:22
- 大小:118.28KB
cas原理.docx
《cas原理.docx》由会员分享,可在线阅读,更多相关《cas原理.docx(22页珍藏版)》请在冰豆网上搜索。
cas原理
基本原理
首先,在我们修改之间,先了解以下CAS运行基本原理。
CAS服务器,客户端(应用),浏览器的序列图如下:
其中:
ST:
ServiceTicket,用于客户端应用持有,每个ST对应一个用户在一个客户端上
TGT:
TicketGrantingTicket,存储在CAS服务器端和用户cookie两个地方
CAS服务器持有ST与TGT+客户端的映射关系,客户端持有ST与用户Session的映射关系,在renew的情况下,每次客户端根据用户Session将ST发送给CAS服务器端,服务器端检验ST是否存在即可知道此用户是否已登陆。
在普通情况下,用户第一次登陆应用时,客户端将用户页面重定向到CAS服务器,服务器取出用户cookie中的TGT,检验是否在服务器中存在,若存在则生成ST返回给客户端 (若不存在则要求登陆,登陆成功后同样返回ST给客户端),客户端拿到ST后再发送给CAS服务器认证是否为真实ST,认证成功即表示登陆成功
我们可以看到,其实我们需要做的就是第2步中返回的登陆页面由服务器改放到客户端,然后让第3步中由用户在客户端上输入用户名密码但提交到CAS服务器端,登陆成功与失败都将转向客户端。
服务器详细登陆流程
对于上一节讲述的整体登陆流程,CAS 3.3.1服务器端上是依赖于Spring Webflow 1.0.3实现的,其主要流程在/WEB-INF/login-webflow.xml中配置,配置的页面流活动图如下(有删节):
图中命名均按照webflow配置文件中的命名,图解如下:
ActionState图标表示webflow配置文件中的action-state或view-state节点
Decision图标表示webflow配置文件中的decision-state节点
InitialState图标表示webflow配置文件中的start-state节点
FinalState图标表示webflow配置文件中的end-state节点
登陆的流程依照图上说明,在此不再累述,下面简单说明下CAS服务器端SpringWebflow的运作
首先CAS在/WEB-INF/web.xml中配置命名为cas的servlet以拦截输入请求,若不在cas servletmapping范围内的资源路径请求均转向到/login上:
...
--其他casservletmapping-->
所有映射到cas servlet上的请求都将经过/WEB-INF/cas-servlet.xml检查确定进入哪个Action,cas-servlet.xml中最重要的两个bean就是handlerMappingB和handlerMappingC
handlerMappingB配置了登陆流程进入的路径映射,而handlerMappingC则配置了其他的流程的路径映射。
/WEB-INF/login-webflow.xml流程配置文件即是在handlerMappingB中通过/login映射进入的。
Webflow依据一个生成的flowExecutionKey来确定一个流程实例走到了哪一步,每次页面流程运转总是需要提交这个flowExecutionKey来告诉webflow它是从流程的哪个位置出发的有了以上理论作为依据,我们在下一节就可以根据自己的需要修改流程,使之支持远程登录了
服务器登陆流程修改目标
修改后的登陆流程活动图如下:
图中橙色为我们修改的流程节点,这里我们增加了一个开始节点remoteLogin和一个结束节点
remoteCallbackView,删除了原有的loginFormView节点、 viewGenericLoginSuccess以及
renew节点(renew节点由于系统无此需求而删除),然后将所有这些节点的转向全部都转向
到remoteCallbackView节点,因为登陆和显示登陆成功信息都应该是客户端完成的
服务器端实现目标
好了,原理到这里已经啰嗦完了,下一节讲如何着手修改CAS服务器端啦
。
修改需要基于几个基本原则:
不影响原有统一登陆界面功能
客户端应尽量保持简单
尽量保证原有功能的完整性和安全性
对于第三点,必须事先说明:
将登陆页面放到客户端本身就是降低了CAS安全性,这意味着作为服务向外发布的CAS服务器中的用户密码有可能由于客户端的不安全性而导致泄露,整个CAS系统成为了一个“水桶形态”,整个CAS体系的安全性将取决于所有客户端中安全性最低的一个。
这也是CAS官方一直不推荐的方式。
服务器端修改
接下来我们讲解服务器端修改的详细过程:
首先,修改/WEB-INF/web.xml,为cas增加一个/remoteLogin的映射:
然后修改cas-servlet.xml文件,增加我们对/remoteLogin映射的处理,需要增加一个新流程:
然后在cas-servlet.xml文件中添加我们上面所配置的remoteController的bean:
--增加远程控制者,允许以/remote请求启动remote控制流程-->
class="org.springframework.webflow.executor.mvc.FlowController" p: flowExecutor-ref="remoteLoginFlowExecutor" p: defaultFlowId="remoteLogin-webflow"> class="org.springframework.webflow.executor.support.RequestParameterFlowExecutorArgumentHandler" p: flowExecutionKeyArgumentName="lt" p: defaultFlowId="remoteLogin-webflow"/> executorid="remoteLoginFlowExecutor"registry-ref="remoteLoginFlowRegistry"> execution-attributes> alwaysRedirectOnPausevalue="false"/> execution-attributes> executor> registryid="remoteLoginFlowRegistry"> locationpath="/WEB-INF/remoteLogin-webflow.xml"/> registry> 可以看到上面将请求指向了webflow配置文件/WEB-INF/remoteLogin-webflow.xml文件,我们需要创建此文件并配置其成为我们所需的流程,以下是remoteLogin-webflow.xml全文: xmlversion="1.0"encoding="UTF-8"? > //www.springframework.org/schema/webflow" xmlns: xsi="http: //www.w3.org/2001/XMLSchema-instance" xsi: schemaLocation=" http: //www.springframework.org/schema/webflow http: //www.springframework.org/schema/webflow/spring-webflow-1.0.xsd"> --远程登陆主要Action--> --远程回调页面,主要以JavaScript的方式回传一些参数用--> =null}"then="hasServiceCheck" else="gatewayRequestCheck"/> =''&& externalContext.requestParameterMap['gateway']! =null&&flowScope.service! = null}"then="redirect"else="remoteCallbackView"/> =null}"then="generateServiceTicket" else="remoteCallbackView"/> -- The"warn"actionmakesthedeterminationofwhethertoredirectdirectlytothe requested serviceordisplaythe"confirmation"pagetogobacktotheserver. --> =null}"then="generateServiceTicket" else="remoteCallbackView"/> -- The"showWarningView"endstateistheendstateforwhentheuserhasrequested privacysettings(tobe"warned")tobeturnedon. Itdelegatestoa viewdefinesindefault_views.propertiesthatdisplaythe"Pleaseclickheretogo totheservice."message. --> -- The"redirect"endstateallowsCAStoproperlyendtheworkflowwhilestill redirecting theuserbacktotheservicerequired. --> dynamicRedirectViewSelector"/> exception="org.springframework.webflow.execution.repository.NoSuchFlowExecutionException"/ > exception="org.jasig.cas.services.UnauthorizedSsoServiceException"/> exception="org.jasig.cas.services.UnauthorizedServiceException"/> 以上文件根据原login-webflow.xml文件修改,黄色背景为修改部分。 可以看到,我们在流程中增加了remoteLoginAction节点和remoteCallbackView节点,下面我们配置remoteLogin节点: 在/WEB-INF/cas-servlet.xml文件中增加remoteLoginAction配置: class="com.baidu.cas.web.flow.RemoteLoginAction" p: argumentExtractors-ref="argumentExtractors" p: warnCookieGenerator-ref="warnCookieGenerator" p: ticketGrantingTicketCookieGenerator-ref="ticketGrantingTicketCookieGenerator"/> 同时创建com.baidu.cas.web.flow.RemoteLoginAction类: /** *远程登陆票据提供Action. *根据InitialFlowSetupAction修改. *由于InitialFlowSetupAction为final类,因此只能将代码复制过来再进行修改. * *@authorGuoLin */ publicclassRemoteLoginActionextendsAbstractAction{ /**CookieGeneratorfortheWarnings.*/ @NotNull privateCookieRetrievingCookieGeneratorwarnCookieGenerator; /**CookieGeneratorfortheTicketGrantingTickets.*/ @NotNull privateCookieRetrievingCookieGeneratorticketGrantingTicketCookieGenerator; /**Extractorsforfindingtheservice.*/ @NotEmpty privateList /**Booleantonotewhetherwe'vesetthevaluesonthegeneratorsornot.*/ privatebooleanpathPopulated=false; protectedEventdoExecute(finalRequestContextcontext)throwsException{ finalHttpServletRequestrequest=WebUtils.getHttpServletRequest(context); if(! this.pathPopulated){ finalStringcontextPath=context.getExternalContext().getContextPath(); finalStringcookiePath=StringUtils.hasText(contextPath)? contextPath: "/";
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- cas 原理