CAS 实现站内单点登录及实现第三方 OAuth、OpenId 登录(一)

原创
2014/02/28 10:42
阅读数 8.7K

一、CAS 介绍

    CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点:

开源的企业级单点登录解决方案
CAS Server 为需要独立部署的 Web 应用
CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用),包括官方和非官方提供的 Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等 CAS Client 包
方便集成第三方OpenID、oAuth等等登录,只需进行简单配置和扩展
内置RememberMe 功能,当认证会话过期后可记录上一次登录用户账户

二、原理

    从结构上看,CAS 包含两个部分: CAS Server 和 CAS Client。CAS Server 需要独立部署,主要负责对用户的认证工作;CAS Client 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。图2 是 CAS 最基本的协议过程:

    CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护受保护的资源。对于访问受保护资源的每个 Web 请求,CAS Client 会分析该请求的 Http 请求中是否包含 Service Ticket,如果没有,则说明当前用户尚未登录,于是将请求重定向到指定好的 CAS Server 登录地址,并传递 Service (也就是要访问的目的资源地址),以便登录成功过后转回该地址。用户在第 3 步中输入认证信息,如果登录成功,CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket,并缓存以待将来验证,之后系统自动重定向到 Service 所在地址,并为客户端浏览器设置一个 Ticket Granted Cookie(TGC),CAS Client 在拿到 Service 和新产生的 Ticket 过后,在第 5,6 步中与 CAS Server 进行身份合适,以确保 Service Ticket 的合法性。
    在该协议中,所有与 CAS 的交互均采用 SSL 协议,确保,ST 和 TGC 的安全性。协议工作过程中会有 2 次重定向的过程,但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的。
    另外,CAS 协议中还提供了 Proxy (代理)模式,以适应更加高级、复杂的应用场景。

三、基本概念描述

  • Principal

  • Credentials:身份凭证,指在系统用用于身份验证的唯一依据

  • ticket

三、pom.xml 配置

配置所需 jar 包,和编译参数

<!-- springframework start -->
... ...
<dependency>
    <groupId>org.springframework.webflow</groupId>
    <artifactId>spring-webflow</artifactId>
</dependency>
<!-- springframework end -->

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>

<!-- cas start -->
<dependency>
    <groupId>org.jasig.cas</groupId>
    <artifactId>cas-server-core</artifactId>
</dependency>
<dependency>
    <groupId>org.jasig.cas</groupId>
    <artifactId>cas-server-support-openid</artifactId>
</dependency>
<dependency>
    <groupId>org.jasig.cas</groupId>
    <artifactId>cas-server-support-oauth</artifactId>
</dependency>
<dependency>
    <groupId>org.jasig.cas</groupId>
    <artifactId>cas-server-integration-memcached</artifactId>
</dependency>
<dependency>
    <groupId>org.jasig.cas.client</groupId>
    <artifactId>cas-client-core</artifactId>
</dependency>
<!-- cas end -->

<dependency>
    <groupId>org.scribe</groupId>
    <artifactId>scribe-up</artifactId>
</dependency>

<dependency>
    <groupId>com.buession</groupId>
    <artifactId>cas-server-support</artifactId>
</dependency>
<dependency>
    <groupId>com.buession</groupId>
    <artifactId>open</artifactId>
</dependency>
<dependency>
    <groupId>com.buession</groupId>
    <artifactId>oauth-client</artifactId>
</dependency>
<dependency>
    <groupId>com.buession</groupId>
    <artifactId>mcrypt</artifactId>
</dependency>

四、com.buession jar 包说明

  1. cas-server-support
    cas server 的补充,重写了部分 cas server API

    git clone git@github.com:eduosi/cas-server-support.git
  2. open

    git clone git@github.com:eduosi/open.git
  3. oauth-client

    scribe-up 的扩展,增加了 Weibo、QQ、Alipay Provider

    git clone git@github.com:eduosi/oauth-client.git
  4. mcrypt:
    对象加密工具,支持除 null 以外的且能转换字符串的任意对象多次加密

    git clone git@github.com:eduosi/Mcrypt.git

五、properties 文件加载

修改 WEB-INF/spring-configuration/propertyFileConfigurer.xml

<bean id="propertyPlaceholderConfigurer"
    class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"
    p:location="/WEB-INF/cas.properties" />

<bean id="propertyPlaceholderConfigurer"
    class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
    <property name="locations">
        <list>
            ... ...
        </list>
    </property>
    <property name="ignoreResourceNotFound" value="true" />
</bean>

定义不同环境的 properties 文件

展开阅读全文
打赏
1
19 收藏
分享
加载中

引用来自“haerr”的评论

博主,你好,你osc的仓库地址是什么??

引用来自“开源中国董事会主席”的评论

http://git.oschina.net/eduosi
木有啊
2015/04/11 22:41
回复
举报

引用来自“haerr”的评论

博主,你好,你osc的仓库地址是什么??
http://git.oschina.net/eduosi
2014/11/06 10:29
回复
举报
博主,你好,你osc的仓库地址是什么??
2014/11/06 09:51
回复
举报

引用来自“lizhou828”的评论

com.buession 这个jar没得啊!!

嗯 osc 的 maven 仓库中 我有提交
2014/08/04 13:53
回复
举报
com.buession 这个jar没得啊!!
2014/08/04 11:15
回复
举报
泥煤。。。。
2014/04/11 17:14
回复
举报
更多评论
打赏
6 评论
19 收藏
1
分享
返回顶部
顶部