CAS集成源码解析

Posted 2021-01-14 kobebyrant

CAS是其中一种SSO（单点登录）的实现，可以用做企业单点登录系统的集成。

CAS主要分为两个部分cas-server和cas-client，分别是集成在服务端（中央票据校验）和客户端（集成应用的子系统）。在应用改造层面，要先了解cas-server和cas-client的主要类和基本实现构架。

 

先从cas-client说起，cas-client主要要做的集成工作就是引入cas客户端的依赖，然后在web.xml中配置过滤器，过滤器会根据url来对来到cas-client的请求进行处理（转发或者直接进入系统）。对于cas-client的代码改造工作也大部分会在这几个过滤器中完成，在里面加入自己的业务需求。

web.xml有四个比较关键的过滤器：SingleSignOutFilter，CasAuthenticationFilter，Cas20ProxyReceivingTicketValidationFilter（cas20指的是用cas2.0协议，不同版本的cas这个类会不同），HttpServletRequestWrapperFilter；

1. SingleSignOutFilter 这个类放在第一个，判断url是否为登出请求，会做出一些清除票据信息和登录信息的操作；（为什么这个类要放在第一个？个人理解：如果是登出请求，后面的过滤器几乎完全没有必要走了，必须转发到cas服务器中做出申请票据什么的）；

2. CasAuthenticationFilter 这个类根据assertion是否为空来判断是否重定向至cas服务器进行登录验证（可以根据自己系统的需求增加不进行拦截的url（例如放行同步，级联，pki登录等流程））；

3. Cas20ProxyReceivingTicketValidationFilter 负责对Service Ticket的校验工作 底层通过HttpsURLConnection来完成后台校验Service Ticket 然后将获得的assertion放在会话中，方便子系统的下次跳转；

4. HttpServletRequestWrapperFilter 这个类是一个包装类，个人理解的不深入，有一个目的是允许通过HttpServletRequest的getRemoteUser()方法获得SSO登录用户的登录名，这个东西可以为以后的业务处理提供十分多的便利；

知道了这些入口流程类的话，一步一步往下看就比较容易了，细节之处就不深入分析了，在代码中还是比较容易理解的；

然后看看cas-server的主要骨架，cas-server中我觉得最关键的地方是用了spring-mvc的web-flow，当请求url进来spring webflow之后，定义了每一步的流程，跟着这个webflow一步步看下去，cas-server的大致流程就很好理解了。Spring-webflow有以下的关键类：

1. AuthenticationViaFormAction 验证登录方式（用户名密码）然后生成ticketGrantingTicket(tgt 这个东西是整个单点登录中最关键的)放在flow scope和Request scope中；（这两个scope是spring mvc里面的概念）

2. SendTicketGrantingTicketAction 将tgt放进浏览器的Cookie中

3. GenerateServiceTicketAction 验证tgt的有效性 根据tgt和service（cas-client子系统）生成Service Ticket

掌握了这些cas的至关重要的入口类之后，继续深入研究cas也会变得更加容易了。

由于直接这么描述源码会比较抽象，对cas的用法也难以理解，会另开一文来总结一下cas的大致流程。