前言:网络中关于Spring security整合cas的方案有很多例,对于Springboot security整合cas方案则比较少,且有些仿制下来运行也有些错误,所以博主在此篇详细的分析cas原理以及Springboot如何正确的配置cas环境

CAS原理

首先整合cas方案的话,无疑理解cas的原理是迫在眉睫的,这在后面对理解代码也有很好的帮助,此处可查看别人写的文章>>>CAS实现SSO单点登录原理,博主只在这里针对springboot cas整合罗列出了其中的逻辑

以上的逻辑看起来比较抽象,下面我们结合源码部分对其作补充

CAS代码逻辑

我们需要熟悉下以下这几个Filter类

- SingleSignOutFilter 单点注销Filter类,接收cas服务端发出的注销session请求

- LogoutFilter 登录退出Filter类,转发至cas服务端进行注销

- CasAuthenticationFilter cas校验Filter处理类,包括对含有token的请求或者指定的路径请求处理

- ExceptionTranslationFilter 异常Filter处理类,主要是接受AccessDeniedException/AuthenticationException这两个异常,其中涉及转发请求至cas服务端登录页面

- FilterSecurityInterceptor 权限验证处理类

SingleSignOutFilter

主要涉及session的创建以及销毁,响应token请求、SLO的前后通道请求,源码如下

	//最终处理请求响应类

	private static final SingleSignOutHandler HANDLER = new SingleSignOutHandler();

	//是否已初始化,默认为false

    private AtomicBoolean handlerInitialized = new AtomicBoolean(false);

	//复写Filter类的init方法,主要是初始化参数

    public void init(final FilterConfig filterConfig) throws ServletException {

	    //初始化ConfigurationStrategy策略类,默认为LegacyConfigurationStrategyImpl实现类

        super.init(filterConfig);

        //ignoreInitConfiguration是否为true,false则采用ConfigurationStrategy的相应参数名

        if (!isIgnoreInitConfiguration()) {

            //设置凭证参数,默认为ticket

            setArtifactParameterName(getString(ConfigurationKeys.ARTIFACT_PARAMETER_NAME));

            //设置登录退出参数,默认为logoutRequest

            setLogoutParameterName(getString(ConfigurationKeys.LOGOUT_PARAMETER_NAME));

            //设置前台通道参数,默认为SAMLRequest,基于SAML实现,此处可自行查阅

            setFrontLogoutParameterName(getString(ConfigurationKeys.FRONT_LOGOUT_PARAMETER_NAME));

            //设置RelayState参数,默认为RelayState

            setRelayStateParameterName(getString(ConfigurationKeys.RELAY_STATE_PARAMETER_NAME));

            //设置cas服务端前缀,比如https://example.cas.com/cas

            setCasServerUrlPrefix(getString(ConfigurationKeys.CAS_SERVER_URL_PREFIX));

            HANDLER.setArtifactParameterOverPost(getBoolean(ConfigurationKeys.ARTIFACT_PARAMETER_OVER_POST));

            HANDLER.setEagerlyCreateSessions(getBoolean(ConfigurationKeys.EAGERLY_CREATE_SESSIONS));

        }

        //主要设置safeParameters参数,默认只有logoutParameterName,即logoutRequest

        HANDLER.init();

        //设置为已初始化

        handlerInitialized.set(true);

    }

进而继续查看SingleSignOutFilter#doFilter方法,看其中的处理逻辑

public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse,

            final FilterChain filterChain) throws IOException, ServletException {

        final HttpServletRequest request = (HttpServletRequest) servletRequest;

        final HttpServletResponse response = (HttpServletResponse) servletResponse;

	    //判断有无初始化

        if (!this.handlerInitialized.getAndSet(true)) {

            HANDLER.init();

        }

		//通过SingleSignOutHandler类处理请求,只有返回true才放行

        if (HANDLER.process(request, response)) {

            filterChain.doFilter(servletRequest, servletResponse);

        }

    }

核心处理类SingleSignOutHandler#process()的代码如下

public boolean process(final HttpServletRequest request, final HttpServletResponse response) {

		//判断是否是token请求,即request对象中是否含有ticket属性

        if (isTokenRequest(request)) {

            logger.trace("Received a token request");

            //保存当前的会话

            recordSession(request);

            return true;

        }

        //POST请求&非文件上传请求&request对象含有logoutRequest属性

        else if (isBackChannelLogoutRequest(request)) {

            logger.trace("Received a back channel logout request");

            //销毁会话

            destroySession(request);

            return false;

        }

	    //GET请求&casServerUrlPrefix已设置&request对象含有SAMLRequest属性

		else if (isFrontChannelLogoutRequest(request)) {

            logger.trace("Received a front channel logout request");

            destroySession(request);

            // redirection url to the CAS server 拼装至cas服务端的logout请求

            final String redirectionUrl = computeRedirectionToServer(request);

            if (redirectionUrl != null) {

                CommonUtils.sendRedirect(response, redirectionUrl);

            }

            return false;

        } else {

            //对非logout请求都进行放行

            return true;

        }

    }
  1. SingleSignOutFilter主要响应的是对cas服务端注销后对客户端应用的注销请求,其需要LogoutFilter的配合。这里涉及到SLO/SAML的概念,有兴趣的可自行查阅
  2. 放行策略:对已含有tokenticket参数的请求放行;非SLO logout请求放行

LogoutFilter

登录退出过滤类,是比较简单的Filter类,实现上也比较简单,简单看下

  • 构造函数
	public LogoutFilter(LogoutSuccessHandler logoutSuccessHandler,

			LogoutHandler... handlers) {

		//两个参数都不能为空

		Assert.notEmpty(handlers, "LogoutHandlers are required");

		this.handlers = Arrays.asList(handlers);

		Assert.notNull(logoutSuccessHandler, "logoutSuccessHandler cannot be null");

		this.logoutSuccessHandler = logoutSuccessHandler;

		//默认接受的登录退出请求为 /logout

		setFilterProcessesUrl("/logout");

	}

        //设置退出操作成功后跳转的url:logoutSuccessUrl,此处一般为跳转至cas服务端退出路径并携带service回调路径

        public LogoutFilter(String logoutSuccessUrl, LogoutHandler... handlers) {

		    Assert.notEmpty(handlers, "LogoutHandlers are required");

		    this.handlers = Arrays.asList(handlers);

		    Assert.isTrue(

				!StringUtils.hasLength(logoutSuccessUrl)

						|| UrlUtils.isValidRedirectUrl(logoutSuccessUrl),

				logoutSuccessUrl + " isn't a valid redirect URL");

		    SimpleUrlLogoutSuccessHandler urlLogoutSuccessHandler = new SimpleUrlLogoutSuccessHandler();

		    if (StringUtils.hasText(logoutSuccessUrl)) {

			    urlLogoutSuccessHandler.setDefaultTargetUrl(logoutSuccessUrl);

		    }

		    logoutSuccessHandler = urlLogoutSuccessHandler;

		    setFilterProcessesUrl("/logout");

	}
  • doFilter()逻辑
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)

			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) req;

		HttpServletResponse response = (HttpServletResponse) res;

		//即匹配当前的请求是否为指定的响应请求,默认判断是否为/logout

		if (requiresLogout(request, response)) {

			//获取上下文中的Authentication 凭证信息

			Authentication auth = SecurityContextHolder.getContext().getAuthentication();

			if (logger.isDebugEnabled()) {

				logger.debug("Logging out user '" + auth

						+ "' and transferring to logout destination");

			}

			//一般是销毁session和清除Authentication 凭证信息,比如SecurityContextLogoutHandler

			for (LogoutHandler handler : handlers) {

				handler.logout(request, response, auth);

			}

			//跳转至cas服务端注销页面

			logoutSuccessHandler.onLogoutSuccess(request, response, auth);

			return;

		}

		//非logout请求放行

		chain.doFilter(request, response);

	}

LogoutFilter的逻辑比较简单,主要是对logout请求进行响应,具体作用是

  1. 销毁session以及安全上下文的Authentication 凭证对象

  2. 跳转至cas服务端注销页面,这里可以配置跳转路径为 casServerUrlPrefix+casServerLogoutUrl+"?service="+casAppServiceUrl

  3. cas服务端回调service来销毁客户端缓存的session,即SingleSignOutFilter

CasAuthenticationFilter

CasAuthenticationFilter涉及的篇幅较长,可点击>>>Springboot security cas源码陶冶-CasAuthenticationFilter

ExceptionTranslationFilter

异常处理类,主要涉及对AuthenticationExceptionAcessDeniedException的响应,在cas中主要应用为出现授权/校验错误则转发路径到casServerLoginUrl供用户统一登录,具体的可查看>>>Springboot security cas源码陶冶-ExceptionTranslationFilter

FilterSecurityInterceptor

授权拦截器,可点击>>>Springboot security cas源码陶冶-FilterSecurityInterceptor

spring security cas逻辑示意图

通过此图再结合以上的代码分析,便可以深入理解spring security是如何整合cas了

下节预告

Springboot security cas整合方案-实践篇

Springboot security cas整合方案-原理篇的更多相关文章

  1. Springboot security cas整合方案-实践篇

    承接前文Springboot security cas整合方案-原理篇,请在理解原理的情况下再查看实践篇 maven环境 <dependency> <groupId>org.s ...

  2. Springboot security cas源码陶冶-CasAuthenticationFilter

    Springboot security cas整合方案中不可或缺的校验Filter类或者称为认证Filter类,其内部包含校验器.权限获取等,特开辟新地啃啃 继承结构 - AbstractAuthen ...

  3. Springboot security cas源码陶冶-ExceptionTranslationFilter

    拦截关键的两个异常,对异常进行处理.主要应用异常则跳转至cas服务端登录页面 ExceptionTranslationFilter#doFilter-逻辑入口 具体操作逻辑如下 public void ...

  4. Springboot security cas源码陶冶-FilterSecurityInterceptor

    前言:用户登录信息校验成功后,都会获得当前用户所拥有的全部权限,所以对访问的路径当前用户有无权限则需要拦截验证一发 Spring security过滤器的执行顺序 首先我们需要验证为啥FilterSe ...

  5. 玩转 SpringBoot 2 之整合 JWT 下篇

    前言 在<玩转 SpringBoot 2 之整合 JWT 上篇> 中介绍了关于 JWT 相关概念和JWT 基本使用的操作方式.本文为 SpringBoot 整合 JWT 的下篇,通过解决 ...

  6. SpringBoot 2.X整合Mybatis

    1.创建工程环境 勾选Web.Mybatis.MySQL,如下 依赖如下 <dependency> <groupId>org.springframework.boot</ ...

  7. 【手摸手,带你搭建前后端分离商城系统】03 整合Spring Security token 实现方案,完成主业务登录

    [手摸手,带你搭建前后端分离商城系统]03 整合Spring Security token 实现方案,完成主业务登录 上节里面,我们已经将基本的前端 VUE + Element UI 整合到了一起.并 ...

  8. springboot+security整合(3)自定义鉴权

    说明 springboot 版本 2.0.3源码地址:点击跳转 系列 springboot+security 整合(1) springboot+security 整合(2) springboot+se ...

  9. springboot+security整合(2)自定义校验

    说明 springboot 版本 2.0.3源码地址:点击跳转 系列 springboot+security 整合(1) springboot+security 整合(2) springboot+se ...

随机推荐

  1. 洛谷 P1553 数字反转(升级版)【字符串+STL stack】

    P1553 数字反转(升级版) 题目描述 给定一个数,请将该数各个位上数字反转得到一个新数. 这次与NOIp2011普及组第一题不同的是:这个数可以是小数,分数,百分数,整数.整数反转是将所有数位对调 ...

  2. HDU 2639 Bone Collector II(01背包变形【第K大最优解】)

    Bone Collector II Time Limit: 5000/2000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others ...

  3. a*b(mod m)的实现过程

    /*a*b (mod m) 的实现过程*/ /*当a,b很大的时候mod m就会产生溢出, 故运用乘法原理转换为加法求解*/ LL multi(LL a, LL b, LL m) { LL exp = ...

  4. [国嵌攻略][148][MTD系统架构]

    MTD设备概述 Flash在嵌入式系统中是必不可少的,它是bootloader.Linux内核和文件系统的最佳载体.在Linux内核中引入了MTD子系统为NOR Flash和Nand FLash设备提 ...

  5. React Native学习(六)—— 轮播图

    本文基于React Native 0.52 Demo上传到Git了,有需要可以看看,写了新内容会上传的.Git地址 https://github.com/gingerJY/React-Native-D ...

  6. 常用SQL笔记总结

    DDL(data definition language)创建和管理表 1.创建表 1.直接创建 例如: create table emp( name varchar(20), salary int ...

  7. ios开发 第三天

    1.复合 对象可以引用其它对象,可以利用其它对象提供的特性. 通过包含作为实例变量的对象指针实现的. 2.OC是单一继承 3.继承-重构 4.类实例化对象时,self指向了对象的首地址. 类对象isa ...

  8. Django将request对象传入模板配置

    对于很多时候,需要从模板中获取很请求中很多内容,比如当前请求的url,当前的session变量中的某个值,这时候我们可以通过配置可将request对象传递进模板. django1.10版本: sett ...

  9. js计算元素距离顶部的高度及元素是否在可视区判断

    前言: 在业务当中,我们经常要计算元素的大小和元素在页面的位置信息.比如说,在一个滚动区域内,我要知道元素A是在可视区内,还是在隐藏内容区(滚动到外边看不到了).有时还要进一步知道,元素是全部都显示在 ...

  10. win7 使用anaconda安装tensorflow并且在jupyter notebook上启动

    记录一下学习深度学习的小事情: 1.tensorflow 现在只支持windows 64位系统: 2.因为实验室的电脑比较老旧,Gpu配置低,所以选择安装的是tensorflow Cpu版本,对于学习 ...