Spring Security 集成 CAS(基于HTTP协议版本)

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Security 集成 CAS(基于HTTP协议版本)相关的知识,希望对你有一定的参考价值。

Spring Security 集成 CAS(基于HTTP协议版本)

近段时间一直研究Spring Security 集成 CAS,网上资料相关资料也很多,不过大都是基于Https的安全认证;使用https协议方式验证需要创建证书等一系列事情比较繁琐,且证书是自己制作每次导航至登录界面时都会有安全提示给人感觉不太好;所以整理此文档供有需要的同学参考。

 

一、服务端配置(cas 3.5)
(1).Http协议的CAS比Https版本的步骤要少了ssl的配置,然后修改服务端部分配置文件即可。
(2).配置CAS服务应用程序的配置文件:WEB_INF下cas.properties、deployerConfigContext.xml
以及WEB-INF子目录spring-configuration下的ticketGrantingTicketCookieGenerator.xml、warmCookieGenerator.xml
(3).修改cas.properties
Sql代码  技术分享
  1. # Services Management Web UI Security  
  2. server.name=http://localhost:8080  
  3. server.prefix=${server.name}/cas  
  4. cas.securityContext.serviceProperties.service=${server.prefix}/services/j_acegi_cas_security_check  
  5. # Names of roles allowed to access the CAS service manager  
  6. cas.securityContext.serviceProperties.adminRoles=ROLE_ADMINISTRATOR  
  7. cas.securityContext.casProcessingFilterEntryPoint.loginUrl=${server.prefix}/login  
  8. cas.securityContext.ticketValidator.casServerUrlPrefix=${server.prefix}  
  9. # IP address or CIDR subnet allowed to access the /status URI of CAS that exposes health check information  
  10. cas.securityContext.status.allowedSubnet=127.0.0.1  
  11.   
  12.   
  13. cas.themeResolver.defaultThemeName=cas-theme-default  
  14. cas.viewResolver.basename=default_views  
  15.   
  16. ##  
  17. Unique CAS node name  
  18. # host.name is used to generate unique Service Ticket IDs and SAMLArtifacts. This is usually set to the specific  
  19. # hostname of the machine running the CAS node, but it could be any label so long as it is unique in the cluster.  
  20. host.name=cas  
  21.   
  22. ##  
  23. Database flavors for Hibernate  
  24. #  
  25. # One of these is needed if you are storing Services or Tickets in an RDBMS via JPA.  
  26. #  
  27.   database.hibernate.dialect=org.hibernate.dialect.OracleDialect  
  28. database.hibernate.dialect=org.hibernate.dialect.mysqlInnoDBDialect  
  29. #database.hibernate.dialect=org.hibernate.dialect.HSQLDialect   
 


(4).deployerConfigContext.xml 添加数据源和密码密码编译器Bean验证用户登录信息;
设置不要使用Https方式(p:requireSecure="false")。
注意:SpringSecurity,CAS 的版本不同有可能类存在不同的包内。
Xml代码  技术分享
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <!--  
  3. | deployerConfigContext.xml centralizes into one file some of the declarative configuration that  
  4. | all CAS deployers will need to modify.  
  5. |  
  6. | This file declares some of the Spring-managed JavaBeans that make up a CAS deployment.  
  7. | The beans declared in this file are instantiated at context initialization time by the Spring  
  8. | ContextLoaderListener declared in web.xml. It finds this file because this  
  9. | file is among those declared in the context parameter "contextConfigLocation".  
  10. |  
  11. | By far the most common change you will need to make in this file is to change the last bean  
  12. | declaration to replace the default SimpleTestUsernamePasswordAuthenticationHandler with  
  13. | one implementing your approach for authenticating usernames and passwords.  
  14. +-->  
  15.   
  16. <!--  
  17. ~ Licensed to Jasig under one or more contributor license  
  18. ~ agreements. See the NOTICE file distributed with this work  
  19. ~ for additional information regarding copyright ownership.  
  20. ~ Jasig licenses this file to you under the Apache License,  
  21. ~ Version 2.0 (the "License"); you may not use this file  
  22. ~ except in compliance with the License. You may obtain a  
  23. ~ copy of the License at the following location:  
  24. ~  
  25. ~ http://www.apache.org/licenses/LICENSE-2.0  
  26. ~  
  27. ~ Unless required by applicable law or agreed to in writing,  
  28. ~ software distributed under the License is distributed on an  
  29. ~ "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY  
  30. ~ KIND, either express or implied. See the License for the  
  31. ~ specific language governing permissions and limitations  
  32. ~ under the License.  
  33. -->  
  34.   
  35. <beans xmlns="http://www.springframework.org/schema/beans"  
  36. xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  37. xmlns:p="http://www.springframework.org/schema/p"  
  38. xmlns:sec="http://www.springframework.org/schema/security"  
  39. xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd  
  40. http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">  
  41. <!--  
  42. | This bean declares our AuthenticationManager. The CentralAuthenticationService service bean  
  43. | declared in applicationContext.xml picks up this AuthenticationManager by reference to its id,  
  44. | "authenticationManager". Most deployers will be able to use the default AuthenticationManager  
  45. | implementation and so do not need to change the class of this bean. We include the whole  
  46. | AuthenticationManager here in the userConfigContext.xml so that you can see the things you will  
  47. | need to change in context.  
  48. +-->  
  49. <bean id="authenticationManager"  
  50. class="org.jasig.cas.authentication.AuthenticationManagerImpl">  
  51.   
  52. <!-- Uncomment the metadata populator to allow clearpass to capture and cache the password  
  53. This switch effectively will turn on clearpass.  
  54. <property name="authenticationMetaDataPopulators">  
  55. <list>  
  56. <bean class="org.jasig.cas.extension.clearpass.CacheCredentialsMetaDataPopulator">  
  57. <constructor-arg index="0" ref="credentialsCache" />  
  58. </bean>  
  59. </list>  
  60. </property>  
  61. -->  
  62.   
  63. <!--  
  64. | This is the List of CredentialToPrincipalResolvers that identify what Principal is trying to authenticate.  
  65. | The AuthenticationManagerImpl considers them in order, finding a CredentialToPrincipalResolver which  
  66. | supports the presented credentials.  
  67. |  
  68. | AuthenticationManagerImpl uses these resolvers for two purposes. First, it uses them to identify the Principal  
  69. | attempting to authenticate to CAS /login . In the default configuration, it is the DefaultCredentialsToPrincipalResolver  
  70. | that fills this role. If you are using some other kind of credentials than UsernamePasswordCredentials, you will need to replace  
  71. | DefaultCredentialsToPrincipalResolver with a CredentialsToPrincipalResolver that supports the credentials you are  
  72. | using.  
  73. |  
  74. | Second, AuthenticationManagerImpl uses these resolvers to identify a service requesting a proxy granting ticket.  
  75. | In the default configuration, it is the HttpBasedServiceCredentialsToPrincipalResolver that serves this purpose.  
  76. | You will need to change this list if you are identifying services by something more or other than their callback URL.  
  77. +-->  
  78. <property name="credentialsToPrincipalResolvers">  
  79. <list>  
  80. <!--  
  81. | UsernamePasswordCredentialsToPrincipalResolver supports the UsernamePasswordCredentials that we use for /login  
  82. | by default and produces SimplePrincipal instances conveying the username from the credentials.  
  83. |  
  84. | If you‘ve changed your LoginFormAction to use credentials other than UsernamePasswordCredentials then you will also  
  85. | need to change this bean declaration (or add additional declarations) to declare a CredentialsToPrincipalResolver that supports the  
  86. | Credentials you are using.  
  87. +-->  
  88. <bean  
  89. class="org.jasig.cas.authentication.principal.UsernamePasswordCredentialsToPrincipalResolver" />  
  90. <!--  
  91. | HttpBasedServiceCredentialsToPrincipalResolver supports HttpBasedCredentials. It supports the CAS 2.0 approach of  
  92. | authenticating services by SSL callback, extracting the callback URL from the Credentials and representing it as a  
  93. | SimpleService identified by that callback URL.  
  94. |  
  95. | If you are representing services by something more or other than an HTTPS URL whereat they are able to  
  96. | receive a proxy callback, you will need to change this bean declaration (or add additional declarations).  
  97. +-->  
  98. <bean  
  99. class="org.jasig.cas.authentication.principal.HttpBasedServiceCredentialsToPrincipalResolver" />  
  100. </list>  
  101. </property>  
  102.   
  103. <!--  
  104. | Whereas CredentialsToPrincipalResolvers identify who it is some Credentials might authenticate,  
  105. | AuthenticationHandlers actually authenticate credentials. Here we declare the AuthenticationHandlers that  
  106. | authenticate the Principals that the CredentialsToPrincipalResolvers identified. CAS will try these handlers in turn  
  107. | until it finds one that both supports the Credentials presented and succeeds in authenticating.  
  108. +-->  
  109. <property name="authenticationHandlers">  
  110. <list>  
  111. <!--  
  112. | This is the authentication handler that authenticates services by means of callback via SSL, thereby validating  
  113. | a server side SSL certificate.  
  114. +-->  
  115. <bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"  
  116. p:httpClient-ref="httpClient" p:requireSecure="false"/>  
  117. <!--  
  118. | This is the authentication handler declaration that every CAS deployer will need to change before deploying CAS  
  119. | into production. The default SimpleTestUsernamePasswordAuthenticationHandler authenticates UsernamePasswordCredentials  
  120. | where the username equals the password. You will need to replace this with an AuthenticationHandler that implements your  
  121. | local authentication strategy. You might accomplish this by coding a new such handler and declaring  
  122. | edu.someschool.its.cas.MySpecialHandler here, or you might use one of the handlers provided in the adaptors modules.  
  123. +-->  
  124. <!-- 
  125. <bean class="org.jasig.cas.authentication.handler.support.SimpleTestUsernamePasswordAuthenticationHandler" /> 
  126. -->  
  127. <!-- 使用查询数据库的方式验证: sql语句返回密码,然后指定一个密码编码器,将提交的密码编码后与查询出来的密码进行比较。  
  128. 密码编码器实现org.jasig.cas.authentication.handler.PasswordEncoder接口  
  129. -->  
  130. <bean class="org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler">  
  131. <property name="dataSource" ref="casDataSource" />  
  132. <property name="sql" value="select lower(password) from tb_sys_user where lower(username) = lower(?)" />  
  133. <property name="passwordEncoder" ref="passwordEncoder"/>  
  134. </bean>  
  135. </list>  
  136. </property>  
  137. </bean>  
  138.   
  139.   
  140. <!--  
  141. This bean defines the security roles for the Services Management application. Simple deployments can use the in-memory version.  
  142. More robust deployments will want to use another option, such as the Jdbc version.  
  143.   
  144. The name of this should remain "userDetailsService" in order for Spring Security to find it.  
  145. -->  
  146. <!-- <sec:user name="@@THIS SHOULD BE [email protected]@" password="notused" authorities="ROLE_ADMIN" />-->  
  147.   
  148. <bean id="userDetailsService" class="org.springframework.security.core.userdetails.memory.InMemoryDaoImpl">  
  149. <property name="userMap">  
  150. <value</value>  
  151. </property>  
  152. </bean>  
  153.   
  154. <!--  
  155. Bean that defines the attributes that a  
  156. service may return. This example uses the Stub/Mock version. A real  
  157. implementation  
  158. may go against a database or LDAP server. The id should  
  159. remain "attributeRepository" though.  
  160. -->  
  161. <bean id="attributeRepository" class="org.jasig.services.persondir.support.StubPersonAttributeDao">  
  162. <property name="backingMap">  
  163. <map>  
  164. <entry key="uid" value="uid"/>  
  165. <entry key="eduPersonAffiliation" value="eduPersonAffiliation" />  
  166. <entry key="groupMembership" value="groupMembership" />  
  167. </map>  
  168. </property>  
  169. </bean>  
  170.   
  171. <!--  
  172. Sample, in-memory data store for  
  173. the ServiceRegistry. A real implementation  
  174. would probably want to replace  
  175. this with the JPA-backed ServiceRegistry DAO  
  176. The name of this bean should  
  177. remain "serviceRegistryDao".  
  178. -->  
  179. <bean id="serviceRegistryDao" class="org.jasig.cas.services.InMemoryServiceRegistryDaoImpl">  
  180. <property name="registeredServices">  
  181. <list>  
  182. <bean class="org.jasig.cas.services.RegexRegisteredService">  
  183. <property name="id" value="0" />  
  184. <property name="name" value="HTTP and IMAP" />  
  185. <property name="description" value="Allows HTTP(S) and IMAP(S) protocols" />  
  186. <property name="serviceId" value="^(https?|imaps?)://.*" />  
  187. <property name="evaluationOrder" value="10000001" />  
  188. </bean>  
  189. </list>  
  190. </property>  
  191. </bean>  
  192.   
  193. <bean id="auditTrailManager" class="com.github.inspektr.audit.support.Slf4jLoggingAuditTrailManager" />  
  194.   
  195. <bean id="healthCheckMonitor" class="org.jasig.cas.monitor.HealthCheckMonitor">  
  196. <property name="monitors">  
  197. <list>  
  198. <bean class="org.jasig.cas.monitor.MemoryMonitor"  
  199. p:freeMemoryWarnThreshold="10" />  
  200. <!--  
  201. NOTE  
  202. The following ticket registries support SessionMonitor:  
  203. * DefaultTicketRegistry  
  204. * JpaTicketRegistry  
  205. Remove this monitor if you use an unsupported registry.  
  206. -->  
  207. <bean class="org.jasig.cas.monitor.SessionMonitor"  
  208. p:ticketRegistry-ref="ticketRegistry"  
  209. p:serviceTicketCountWarnThreshold="5000"  
  210. p:sessionCountWarnThreshold="100000" />  
  211. </list>  
  212. </property>  
  213. </bean>  
  214.    
  215. <bean id="casDataSource" class="org.apache.commons.dbcp.BasicDataSource">  
  216. <property name="driverClassName">  
  217. <value>oracle.jdbc.driver.OracleDriver</value>  
  218. </property>  
  219. <property name="url">  
  220. <value>jdbc:oracle:thin:@x.x.x.x:1521:x</value>  
  221. </property>  
  222. <property name="username">  
  223. <value>username</value>  
  224. </property>  
  225. <property name="password">  
  226. <value>123456</value>  
  227. </property>  
  228. </bean>  
  229.   
  230. <bean id="passwordEncoder" class="org.jasig.cas.authentication.handler.DefaultPasswordEncoder">  
  231. <constructor-arg value="MD5"/>  
  232. </bean>  
  233.    
  234. </beans>  
 
 
(5).ticketGrantingTicketCookieGenerator.xml
设置cookie安全要求为false使用http协议
Xml代码  技术分享
  1. <bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"  
  2. p:cookieSecure="false" p:cookieMaxAge="-1" p:cookieName="CASTGC" p:cookiePath="/cas" />  
 
(6).warnCookieGenerator.xml 设置cookie安全要求为false使用http协议
Xml代码  技术分享
  1. <bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"  
  2. p:cookieSecure="false" p:cookieMaxAge="-1" p:cookieName="CASPRIVACY" p:cookiePath="/cas" />   
 
(7).jar包支持
数据库连接池:commons-dbcp-1.2.2.jar,commons-pool-1.3.jar,commons-logging-1.1.jar,commons-lang-2.5.jar,commons-io-2.0.jar,commons-collections-3.2.1.jar
SpringJdbc: cas-server-support-jdbc-3.5.0.jar
数据库驱动:ojdbc14.jar

二、客户端配置
Xml代码  技术分享
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2.         <beans xmlns="http://www.springframework.org/schema/beans"  
  3.             xmlns:sec="http://www.springframework.org/schema/security"  
  4.             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  5.             xsi:schemaLocation="http://www.springframework.org/schema/beans  
  6.                                 http://www.springframework.org/schema/beans/spring-beans-2.5.xsd  
  7.                                 http://www.springframework.org/schema/security  
  8.                                 http://www.springframework.org/schema/security/spring-security-2.0.4.xsd"  
  9.             default-autowire="byType"  
  10.             default-lazy-init="true">  
  11.           
  12.             <sec:http entry-point-ref="casProcessingFilterEntryPoint">  
  13.                 <sec:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />  
  14.                 <sec:logout />  
  15.             </sec:http>  
  16.           
  17.             <sec:authentication-manager alias="authenticationManager" />  
  18.           
  19.             <bean id="casProcessingFilter" class="org.springframework.security.ui.cas.CasProcessingFilter">  
  20.                 <sec:custom-filter after="CAS_PROCESSING_FILTER" />  
  21.                 <property name="authenticationManager" ref="authenticationManager" />  
  22.                 <property name="authenticationFailureUrl" value="/casfailed.jsp" />  
  23.                 <property name="defaultTargetUrl" value="/" />  
  24.             </bean>  
  25.           
  26.             <bean id="casProcessingFilterEntryPoint" class="org.springframework.security.ui.cas.CasProcessingFilterEntryPoint">  
  27.                 <property name="loginUrl" value="http://localhost:8080/cas/login" />  
  28.                 <property name="serviceProperties" ref="serviceProperties" />  
  29.             </bean>  
  30.           
  31.             <bean id="serviceProperties" class="org.springframework.security.ui.cas.ServiceProperties">  
  32.                 <property name="service" value="http://localhost:8080/sample2/j_spring_cas_security_check" />  
  33.                 <property name="sendRenew" value="false"/>  
  34.             </bean>  
  35.           
  36.             <bean id="casAuthenticationProvider" class="org.springframework.security.providers.cas.CasAuthenticationProvider">  
  37.                 <sec:custom-authentication-provider />  
  38.                 <property name="userDetailsService" ref="userDetailsService"/>  
  39.                 <property name="serviceProperties" ref="serviceProperties" />  
  40.                 <property name="ticketValidator">  
  41.                     <bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">  
  42.                         <constructor-arg index="0" value="http://localhost:8080/cas/" />  
  43.                     </bean>  
  44.                 </property>  
  45.                 <property name="key" value="integratedreport"/>  
  46.             </bean>  
  47.           <!-- 需要自己实现userservice -->  
  48.             <bean id="userDetailsService" class="cas.ava.UserDetailsServiceImpl" />  
  49.             <bean id="passwordEncoder" class="org.springframework.security.providers.encoding.Md5PasswordEncoder" />        
  50.         </beans>     
 

三.参考资料
http://www.docin.com/p-277698606.html#documentinfo



























以上是关于Spring Security 集成 CAS(基于HTTP协议版本)的主要内容,如果未能解决你的问题,请参考以下文章

Angular+spring-security-cas前后端分离(基于ticket)认证时序图

Spring Security LDAP VS CAS VS OpenID 的区别

访问令牌实现的spring security openid连接请求不符合cas api要求

Spring Security实战

spring security+cas(cas proxy配置)

security 集成cas