Spring Security 集成 CAS(基于HTTP协议版本)

近段时间一直研究Spring Security 集成 CAS,网上资料相关资料也很多,不过大都是基于Https的安全认证;使用https协议方式验证需要创建证书等一系列事情比较繁琐,且证书是自己制作每次导航至登录界面时都会有安全提示给人感觉不太好;所以整理此文档供有需要的同学参考。

一、服务端配置(cas 3.5)

(1).Http协议的CAS比Https版本的步骤要少了ssl的配置,然后修改服务端部分配置文件即可。

(2).配置CAS服务应用程序的配置文件:WEB_INF下cas.properties、deployerConfigContext.xml

以及WEB-INF子目录spring-configuration下的ticketGrantingTicketCookieGenerator.xml、warmCookieGenerator.xml

(3).修改cas.properties

  1. # Services Management Web UI Security
  2. server.name=http://localhost:8080
  3. server.prefix=${server.name}/cas
  4. cas.securityContext.serviceProperties.service=${server.prefix}/services/j_acegi_cas_security_check
  5. # Names of roles allowed to access the CAS service manager
  6. cas.securityContext.serviceProperties.adminRoles=ROLE_ADMINISTRATOR
  7. cas.securityContext.casProcessingFilterEntryPoint.loginUrl=${server.prefix}/login
  8. cas.securityContext.ticketValidator.casServerUrlPrefix=${server.prefix}
  9. # IP address or CIDR subnet allowed to access the /status URI of CAS that exposes health check information
  10. cas.securityContext.status.allowedSubnet=127.0.0.1
  11. cas.themeResolver.defaultThemeName=cas-theme-default
  12. cas.viewResolver.basename=default_views
  13. ##
  14. # Unique CAS node name
  15. # host.name is used to generate unique Service Ticket IDs and SAMLArtifacts. This is usually set to the specific
  16. # hostname of the machine running the CAS node, but it could be any label so long as it is unique in the cluster.
  17. host.name=cas
  18. ##
  19. # Database flavors for Hibernate
  20. #
  21. # One of these is needed if you are storing Services or Tickets in an RDBMS via JPA.
  22. #
  23. database.hibernate.dialect=org.hibernate.dialect.OracleDialect
  24. # database.hibernate.dialect=org.hibernate.dialect.MySQLInnoDBDialect
  25. #database.hibernate.dialect=org.hibernate.dialect.HSQLDialect

(4).deployerConfigContext.xml 添加数据源和密码密码编译器Bean验证用户登录信息;

设置不要使用Https方式(p:requireSecure="false")。

注意:SpringSecurity,CAS 的版本不同有可能类存在不同的包内。

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <!--
  3. | deployerConfigContext.xml centralizes into one file some of the declarative configuration that
  4. | all CAS deployers will need to modify.
  5. |
  6. | This file declares some of the Spring-managed JavaBeans that make up a CAS deployment.
  7. | The beans declared in this file are instantiated at context initialization time by the Spring
  8. | ContextLoaderListener declared in web.xml. It finds this file because this
  9. | file is among those declared in the context parameter "contextConfigLocation".
  10. |
  11. | By far the most common change you will need to make in this file is to change the last bean
  12. | declaration to replace the default SimpleTestUsernamePasswordAuthenticationHandler with
  13. | one implementing your approach for authenticating usernames and passwords.
  14. +-->
  15. <!--
  16. ~ Licensed to Jasig under one or more contributor license
  17. ~ agreements. See the NOTICE file distributed with this work
  18. ~ for additional information regarding copyright ownership.
  19. ~ Jasig licenses this file to you under the Apache License,
  20. ~ Version 2.0 (the "License"); you may not use this file
  21. ~ except in compliance with the License. You may obtain a
  22. ~ copy of the License at the following location:
  23. ~
  24. ~ http://www.apache.org/licenses/LICENSE-2.0
  25. ~
  26. ~ Unless required by applicable law or agreed to in writing,
  27. ~ software distributed under the License is distributed on an
  28. ~ "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY
  29. ~ KIND, either express or implied. See the License for the
  30. ~ specific language governing permissions and limitations
  31. ~ under the License.
  32. -->
  33. <beans xmlns="http://www.springframework.org/schema/beans"
  34. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  35. xmlns:p="http://www.springframework.org/schema/p"
  36. xmlns:sec="http://www.springframework.org/schema/security"
  37. xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
  38. http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">
  39. <!--
  40. | This bean declares our AuthenticationManager. The CentralAuthenticationService service bean
  41. | declared in applicationContext.xml picks up this AuthenticationManager by reference to its id,
  42. | "authenticationManager". Most deployers will be able to use the default AuthenticationManager
  43. | implementation and so do not need to change the class of this bean. We include the whole
  44. | AuthenticationManager here in the userConfigContext.xml so that you can see the things you will
  45. | need to change in context.
  46. +-->
  47. <bean id="authenticationManager"
  48. class="org.jasig.cas.authentication.AuthenticationManagerImpl">
  49. <!-- Uncomment the metadata populator to allow clearpass to capture and cache the password
  50. This switch effectively will turn on clearpass.
  51. <property name="authenticationMetaDataPopulators">
  52. <list>
  53. <bean class="org.jasig.cas.extension.clearpass.CacheCredentialsMetaDataPopulator">
  54. <constructor-arg index="0" ref="credentialsCache" />
  55. </bean>
  56. </list>
  57. </property>
  58. -->
  59. <!--
  60. | This is the List of CredentialToPrincipalResolvers that identify what Principal is trying to authenticate.
  61. | The AuthenticationManagerImpl considers them in order, finding a CredentialToPrincipalResolver which
  62. | supports the presented credentials.
  63. |
  64. | AuthenticationManagerImpl uses these resolvers for two purposes. First, it uses them to identify the Principal
  65. | attempting to authenticate to CAS /login . In the default configuration, it is the DefaultCredentialsToPrincipalResolver
  66. | that fills this role. If you are using some other kind of credentials than UsernamePasswordCredentials, you will need to replace
  67. | DefaultCredentialsToPrincipalResolver with a CredentialsToPrincipalResolver that supports the credentials you are
  68. | using.
  69. |
  70. | Second, AuthenticationManagerImpl uses these resolvers to identify a service requesting a proxy granting ticket.
  71. | In the default configuration, it is the HttpBasedServiceCredentialsToPrincipalResolver that serves this purpose.
  72. | You will need to change this list if you are identifying services by something more or other than their callback URL.
  73. +-->
  74. <property name="credentialsToPrincipalResolvers">
  75. <list>
  76. <!--
  77. | UsernamePasswordCredentialsToPrincipalResolver supports the UsernamePasswordCredentials that we use for /login
  78. | by default and produces SimplePrincipal instances conveying the username from the credentials.
  79. |
  80. | If you've changed your LoginFormAction to use credentials other than UsernamePasswordCredentials then you will also
  81. | need to change this bean declaration (or add additional declarations) to declare a CredentialsToPrincipalResolver that supports the
  82. | Credentials you are using.
  83. +-->
  84. <bean
  85. class="org.jasig.cas.authentication.principal.UsernamePasswordCredentialsToPrincipalResolver" />
  86. <!--
  87. | HttpBasedServiceCredentialsToPrincipalResolver supports HttpBasedCredentials. It supports the CAS 2.0 approach of
  88. | authenticating services by SSL callback, extracting the callback URL from the Credentials and representing it as a
  89. | SimpleService identified by that callback URL.
  90. |
  91. | If you are representing services by something more or other than an HTTPS URL whereat they are able to
  92. | receive a proxy callback, you will need to change this bean declaration (or add additional declarations).
  93. +-->
  94. <bean
  95. class="org.jasig.cas.authentication.principal.HttpBasedServiceCredentialsToPrincipalResolver" />
  96. </list>
  97. </property>
  98. <!--
  99. | Whereas CredentialsToPrincipalResolvers identify who it is some Credentials might authenticate,
  100. | AuthenticationHandlers actually authenticate credentials. Here we declare the AuthenticationHandlers that
  101. | authenticate the Principals that the CredentialsToPrincipalResolvers identified. CAS will try these handlers in turn
  102. | until it finds one that both supports the Credentials presented and succeeds in authenticating.
  103. +-->
  104. <property name="authenticationHandlers">
  105. <list>
  106. <!--
  107. | This is the authentication handler that authenticates services by means of callback via SSL, thereby validating
  108. | a server side SSL certificate.
  109. +-->
  110. <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
  111. p:httpClient-ref="httpClient" p:requireSecure="false"/>
  112. <!--
  113. | This is the authentication handler declaration that every CAS deployer will need to change before deploying CAS
  114. | into production. The default SimpleTestUsernamePasswordAuthenticationHandler authenticates UsernamePasswordCredentials
  115. | where the username equals the password. You will need to replace this with an AuthenticationHandler that implements your
  116. | local authentication strategy. You might accomplish this by coding a new such handler and declaring
  117. | edu.someschool.its.cas.MySpecialHandler here, or you might use one of the handlers provided in the adaptors modules.
  118. +-->
  119. <!--
  120. <bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" />
  121. -->
  122. <!-- 使用查询数据库的方式验证: sql语句返回密码,然后指定一个密码编码器,将提交的密码编码后与查询出来的密码进行比较。
  123. 密码编码器实现org.jasig.cas.authentication.handler.PasswordEncoder接口
  124. -->
  125. <bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">
  126. <property name="dataSource" ref="casDataSource" />
  127. <property name="sql" value="select lower(password) from tb_sys_user where lower(username) = lower(?)" />
  128. <property name="passwordEncoder" ref="passwordEncoder"/>
  129. </bean>
  130. </list>
  131. </property>
  132. </bean>
  133. <!--
  134. This bean defines the security roles for the Services Management application. Simple deployments can use the in-memory version.
  135. More robust deployments will want to use another option, such as the Jdbc version.
  136. The name of this should remain "userDetailsService" in order for Spring Security to find it.
  137. -->
  138. <!-- <sec:user name="@@THIS SHOULD BE REPLACED@@" password="notused" authorities="ROLE_ADMIN" />-->
  139. <bean id="userDetailsService" class="org.springframework.security.core.userdetails.memory.InMemoryDaoImpl">
  140. <property name="userMap">
  141. <value> </value>
  142. </property>
  143. </bean>
  144. <!--
  145. Bean that defines the attributes that a
  146. service may return. This example uses the Stub/Mock version. A real
  147. implementation
  148. may go against a database or LDAP server. The id should
  149. remain "attributeRepository" though.
  150. -->
  151. <bean id="attributeRepository" class="org.jasig.services.persondir.support.StubPersonAttributeDao">
  152. <property name="backingMap">
  153. <map>
  154. <entry key="uid" value="uid"/>
  155. <entry key="eduPersonAffiliation" value="eduPersonAffiliation" />
  156. <entry key="groupMembership" value="groupMembership" />
  157. </map>
  158. </property>
  159. </bean>
  160. <!--
  161. Sample, in-memory data store for
  162. the ServiceRegistry. A real implementation
  163. would probably want to replace
  164. this with the JPA-backed ServiceRegistry DAO
  165. The name of this bean should
  166. remain "serviceRegistryDao".
  167. -->
  168. <bean id="serviceRegistryDao" class="org.jasig.cas.services.InMemoryServiceRegistryDaoImpl">
  169. <property name="registeredServices">
  170. <list>
  171. <bean class="org.jasig.cas.services.RegexRegisteredService">
  172. <property name="id" value="0" />
  173. <property name="name" value="HTTP and IMAP" />
  174. <property name="description" value="Allows HTTP(S) and IMAP(S) protocols" />
  175. <property name="serviceId" value="^(https?|imaps?)://.*" />
  176. <property name="evaluationOrder" value="10000001" />
  177. </bean>
  178. </list>
  179. </property>
  180. </bean>
  181. <bean id="auditTrailManager" class="com.github.inspektr.audit.support.Slf4jLoggingAuditTrailManager" />
  182. <bean id="healthCheckMonitor" class="org.jasig.cas.monitor.HealthCheckMonitor">
  183. <property name="monitors">
  184. <list>
  185. <bean class="org.jasig.cas.monitor.MemoryMonitor"
  186. p:freeMemoryWarnThreshold="10" />
  187. <!--
  188. NOTE
  189. The following ticket registries support SessionMonitor:
  190. * DefaultTicketRegistry
  191. * JpaTicketRegistry
  192. Remove this monitor if you use an unsupported registry.
  193. -->
  194. <bean class="org.jasig.cas.monitor.SessionMonitor"
  195. p:ticketRegistry-ref="ticketRegistry"
  196. p:serviceTicketCountWarnThreshold="5000"
  197. p:sessionCountWarnThreshold="100000" />
  198. </list>
  199. </property>
  200. </bean>
  201. <bean id="casDataSource" class="org.apache.commons.dbcp.BasicDataSource">
  202. <property name="driverClassName">
  203. <value>oracle.jdbc.driver.OracleDriver</value>
  204. </property>
  205. <property name="url">
  206. <value>jdbc:oracle:thin:@x.x.x.x:1521:x</value>
  207. </property>
  208. <property name="username">
  209. <value>username</value>
  210. </property>
  211. <property name="password">
  212. <value>123456</value>
  213. </property>
  214. </bean>
  215. <bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder">
  216. <constructor-arg value="MD5"/>
  217. </bean>
  218. </beans>

(5).ticketGrantingTicketCookieGenerator.xml

设置cookie安全要求为false使用http协议

  1. <bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
  2. p:cookieSecure="false" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" />

(6).warnCookieGenerator.xml 设置cookie安全要求为false使用http协议

  1. <bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
  2. p:cookieSecure="false" p:cookieMaxAge="-1" p:cookieName="CASPRIVACY" p:cookiePath="/cas" />

(7).jar包支持

数据库连接池:commons-dbcp-1.2.2.jar,commons-pool-1.3.jar,commons-logging-1.1.jar,commons-lang-2.5.jar,commons-io-2.0.jar,commons-collections-3.2.1.jar

SpringJdbc: cas-server-support-jdbc-3.5.0.jar

数据库驱动:ojdbc14.jar

二、客户端配置

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <beans xmlns="http://www.springframework.org/schema/beans"
  3. xmlns:sec="http://www.springframework.org/schema/security"
  4. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  5. xsi:schemaLocation="http://www.springframework.org/schema/beans
  6. http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
  7. http://www.springframework.org/schema/security
  8. http://www.springframework.org/schema/security/spring-security-2.0.4.xsd"
  9. default-autowire="byType"
  10. default-lazy-init="true">
  11. <sec:http entry-point-ref="casProcessingFilterEntryPoint">
  12. <sec:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
  13. <sec:logout />
  14. </sec:http>
  15. <sec:authentication-manager alias="authenticationManager" />
  16. <bean id="casProcessingFilter" class="org.springframework.security.ui.cas.CasProcessingFilter">
  17. <sec:custom-filter after="CAS_PROCESSING_FILTER" />
  18. <property name="authenticationManager" ref="authenticationManager" />
  19. <property name="authenticationFailureUrl" value="/casfailed.jsp" />
  20. <property name="defaultTargetUrl" value="/" />
  21. </bean>
  22. <bean id="casProcessingFilterEntryPoint" class="org.springframework.security.ui.cas.CasProcessingFilterEntryPoint">
  23. <property name="loginUrl" value="http://localhost:8080/cas/login" />
  24. <property name="serviceProperties" ref="serviceProperties" />
  25. </bean>
  26. <bean id="serviceProperties" class="org.springframework.security.ui.cas.ServiceProperties">
  27. <property name="service" value="http://localhost:8080/sample2/j_spring_cas_security_check" />
  28. <property name="sendRenew" value="false"/>
  29. </bean>
  30. <bean id="casAuthenticationProvider" class="org.springframework.security.providers.cas.CasAuthenticationProvider">
  31. <sec:custom-authentication-provider />
  32. <property name="userDetailsService" ref="userDetailsService"/>
  33. <property name="serviceProperties" ref="serviceProperties" />
  34. <property name="ticketValidator">
  35. <bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
  36. <constructor-arg index="0" value="http://localhost:8080/cas/" />
  37. </bean>
  38. </property>
  39. <property name="key" value="integratedreport"/>
  40. </bean>
  41. <!-- 需要自己实现userservice -->
  42. <bean id="userDetailsService" class="cas.ava.UserDetailsServiceImpl" />
  43. <bean id="passwordEncoder" class="org.springframework.security.providers.encoding.Md5PasswordEncoder" />
  44. </beans>

三.参考资料

http://www.docin.com/p-277698606.html#documentinfo

Spring Security 集成 CAS(基于HTTP协议版本)的更多相关文章

  1. spring security集成cas实现单点登录

    spring security集成cas 0.配置本地ssl连接 操作记录如下: =====================1.创建证书文件thekeystore ,并导出为thekeystore.c ...

  2. Spring Security 集成CAS实现单点登录

    参考:http://elim.iteye.com/blog/2270446 众所周知,Cas是对单点登录的一种实现.本文假设读者已经了解了Cas的原理及其使用,这些内容在本文将不会讨论.Cas有Ser ...

  3. 单点登录(SSO)解决方案之 CAS客户端与Spring Security集成

    接上篇:单点登录(SSO)解决方案之 CAS服务端数据源设置及页面改造 Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制 ...

  4. JWT和Spring Security集成

    通常情况下,把API直接暴露出去是风险很大的, 我们一般需要对API划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结果给予用户对应的API (一)JWT是什么,为什么要使用它? 互联网服务离不开 ...

  5. Spring Security 解析(六) —— 基于JWT的单点登陆(SSO)开发及原理解析

    Spring Security 解析(六) -- 基于JWT的单点登陆(SSO)开发及原理解析   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把 ...

  6. Spring Security教程之基于方法的权限控制(十二)

    目录 1.1     intercept-methods定义方法权限控制 1.2     使用pointcut定义方法权限控制 1.3     使用注解定义方法权限控制 1.3.1    JSR-25 ...

  7. Spring Security教程之基于表达式的权限控制(九)

    目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2   ...

  8. spring boot+spring security集成以及Druid数据库连接池的问题

    贴工程目录,其中bll目录下是service+dao层,common是一些公用的模块及功能类,web是controller层 用到了druid及Redis,工具及配置类目录(本文不介绍如何配置drui ...

  9. Spring Security入门(基于SSM环境配置)

    一.前期准备 配置SSM环境 二.不使用数据库进行权限控制 配置好SSM环境以后,配置SpringSecurity环境 添加security依赖   <dependency> <gr ...

随机推荐

  1. 《java入门第一季》之面向对象面试题

    1:方法重写和方法重载的区别?方法重载能改变返回值类型吗? 方法重写: 在子类中,出现和父类中一模一样的方法声明的现象. 方法重载: 同一个类中,出现的方法名相同,参数列表不同的现象. 方法重载能改变 ...

  2. android重启代码

    首先新建一个app然后添加 android:sharedUserId="android.uid.system" 再添加重启的权限 <uses-permission andro ...

  3. Java进阶(十三)servlet监听器

    servlet监听器 Listener是Servlet的监听器,它可以监听客户端的请求.服务端的操作等.通过监听器,可以自动激发一些操作,比如监听在线的用户的数量.当 增加一个HttpSession时 ...

  4. Gradle 1.12用户指南翻译——第二十九章. Checkstyle 插件

    其他章节的翻译请参见: http://blog.csdn.net/column/details/gradle-translation.html 翻译项目请关注Github上的地址: https://g ...

  5. PS 图像调整算法——阈值

    PS里面这个算法,先将图像转成灰度图像,然后根据给定的阈值,大于该阈值的像素赋值为1,小于该阈值的赋值为0. if x>T, x=1; if x<T, x=0; 原图: 效果图:阈值为 1 ...

  6. 【编程练习】收集的一些c++代码片,算法排序,读文件,写日志,快速求积分等等

    写日志: class LogFile { public: static LogFile &instance(); operator FILE *() const { return m_file ...

  7. spring+mybaits多数据源使用

    一.在利用spring管理mybatis时可以同时配置多个数据源,并且数据源可以随时切换,但在多线程中多数据源的事务需要一定的配置. 多数据源配置: <bean id="postgre ...

  8. Mina源码阅读笔记(二)- IoBuffer的封装

    在阅读IoBuffer源码之前,我们先看Mina对IoBuffer的描述:A byte buffer used by MINA applications. This is a replacement ...

  9. nasm汇编一些需要注意的地方

    经常用msam或tasm的童鞋一下转换到nasm下可能觉得不怎么适应,它们应该先去晓习一下gas的语法,然后就适应了-that's only a joke! :) section .data v101 ...

  10. 棋盘的完美覆盖问题,c++代码实现

    #include "stdafx.h" #include<iostream> #include<iomanip> using namespace std; ...