JAVA CAS单点登录之三:CAS代理模式演练

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了JAVA CAS单点登录之三:CAS代理模式演练相关的知识,希望对你有一定的参考价值。


前言

 JAVA CAS单点登录之一:搭建CAS服务器    

JAVA CAS单点登录之二:CAS普通模式1演练    

代理模式相相对上一节的普通模式,更加复杂了。但配置起来也会稍微有些差别。所谓难者不会,会者不难。如果遇到一个从来没有遇到的问题,解决起来也是非常棘手的,当然解决之后就不是事了。我就遇到了一个CAS 坑爹的错误。一步步按照别人的博客坐下来,普通模式部署没有多大问题,就是不知道为什么代理模式总是出错,搜遍了整个网络,也没找到问题所在,我就纳闷了,为什么就没有人 遇到过呢。还好,最后我使用了杀手锏,部署源码一步步跟踪找到了问题所在。

主要内容

搭建一整套环境.包括(cas-server ,cas proxy client,cas back-end app client)

一共三个Web应用。

具体参数  

涉及的所有参数都在我的实体机(WIN7)完成的。分别按照了3个TOMCAT服务端。

  • Tomcat6.0.36

  • JDK7

  • CAS Server版本:cas-server-3.5.3

  • CAS Client版本:cas-client-3.1.1

Cas Server
8888,443
配置见 JAVA CAS单点登录之一
Cas Proxy Client
8080
改造JAVA CAS单点登录之二的mywebapp1,改名为proxyClient
Cas Back-end Service Client
8070

改造JAVA CAS单点登录之二的

mywebapp2


域名映射(C:\Windows\System32\drivers\etc\hosts)

1
2
127.0.0.1 hellocas1.com
127.0.0.1 hellocas2.com

主机名

zhaoguoyu-pc

操作步骤

  1. 修改cas Server端支持代理功能。

    就是这一步在其他文章中根本没有提到,我不知道是版本问题,还是什么问题。如果不配置,访问后台应用时会报 service.not.authorized.proxy异常。

1.1 修改 deployerConfigContext.xml文件支持代理

<bean
   id="serviceRegistryDao"
       class="org.jasig.cas.services.InMemoryServiceRegistryDaoImpl">
           <property name="registeredServices">
               <list>
                   <bean class="org.jasig.cas.services.RegexRegisteredService">
                       <property name="id" value="0" />
                       <property name="name" value="HTTP and IMAP" />
                       <property name="description" value="Allows HTTP(S) and IMAP(S) protocols" />
                       <property name="serviceId" value="^(https?|imaps?)://.*" />
                       <property name="evaluationOrder" value="10000001" />
                       <property name="allowedToProxy" value="true"/>
                   </bean>
                   <!--
                   Use the following definition instead of the above to further restrict access
                   to services within your domain (including subdomains).
                   Note that example.com must be replaced with the domain you wish to permit.
                   -->
                   <!--
                   <bean class="org.jasig.cas.services.RegexRegisteredService">
                       <property name="id" value="1" />
                       <property name="name" value="HTTP and IMAP on example.com" />
                       <property name="description" value="Allows HTTP(S) and IMAP(S) protocols on example.com" />
                       <property name="serviceId" value="^(https?|imaps?)://([A-Za-z0-9_-]+\.)*example\.com/.*" />
                       <property name="evaluationOrder" value="0" />
                   </bean>
                   -->
               </list>
           </property>
       </bean>

        就是添加 这个属性标签,

<property name="allowedToProxy" value="true"/>

我就是坑在这里了,坑了近3个晚上。,苦逼啊。现在回想起来真的太傻了。如果没这个插曲,我想CAS我可能又走马观花研究一两个晚上而已,正是这个插曲,燃起了我的斗志,所以也干脆写一个系列吧。


1.2 为了演练方便,修改 deployerConfigContext.xml文件,不需要安全请求。

<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
  
p:httpClient-ref="httpClient" p:requireSecure="false"/>

就是添加这个属性

p:requireSecure="false"

通过上面2步的配置,CAS服务增加了代理,同时也支持普通连接访问了。


2.配置代理服务

在上一节的基础上,改造原来的web.xml,作为代理使用。

<?xml version="1.0" encoding="UTF-8"?>
<web-app id="mywebapp" version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

  <display-name>mywebapp</display-name>

  <!-- Sign out not yet implemented -->
  <!--
      <filter>
          <filter-name>CAS Single Sign Out Filter</filter-name>
          <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
      </filter>
  -->

  <filter>
    <filter-name>CAS Authentication Filter</filter-name>
    <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
    <init-param>
      <param-name>casServerLoginUrl</param-name>
      <param-value>https://zhaoguoyu-pc/cas/login</param-value>
    </init-param>
    <init-param>
      <param-name>serverName</param-name>
      <param-value>http://zhaoguoyu-pc:8080</param-value>
    </init-param>
    <init-param>
      <param-name>renew</param-name>
      <param-value>false</param-value>
    </init-param>
    <init-param>
      <param-name>gateway</param-name>
      <param-value>false</param-value>
    </init-param>
  </filter>

  <filter>
    <filter-name>CAS Validation Filter</filter-name>
    <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
    <init-param>
      <param-name>casServerUrlPrefix</param-name>
      <param-value>https://zhaoguoyu-pc/cas/</param-value>
    </init-param>
    <init-param>
      <param-name>serverName</param-name>
      <param-value>http://zhaoguoyu-pc:8080</param-value>
    </init-param>

    <init-param>
        <param-name>proxyCallbackUrl</param-name>
        <param-value>http://zhaoguoyu-pc:8080/mywebapp/proxyCallback</param-value>
    </init-param>
    <init-param>
        <param-name>proxyReceptorUrl</param-name>
        <param-value>/proxyCallback</param-value>
    </init-param>

  </filter>

  <filter>
    <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
    <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class>
  </filter>

  <filter>
    <filter-name>CAS Assertion Thread Local Filter</filter-name>
    <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
  </filter>

  <!-- ************************* -->

  <!-- Sign out not yet implemented -->
  <!--
      <filter-mapping>
          <filter-name>CAS Single Sign Out Filter</filter-name>
          <url-pattern>/*</url-pattern>
      </filter-mapping>
  -->
  <filter-mapping>
    <filter-name>CAS Validation Filter</filter-name>
    <url-pattern>/proxyCallback</url-pattern>
  </filter-mapping>

  <filter-mapping>
    <filter-name>CAS Authentication Filter</filter-name>
    <url-pattern>/protected/*</url-pattern>
  </filter-mapping>

  <filter-mapping>
    <filter-name>CAS Validation Filter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

  <filter-mapping>
    <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

  <filter-mapping>
    <filter-name>CAS Assertion Thread Local Filter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>



  <!--  *********************** -->

  <!-- Sign out not yet implemented -->
  <!--
      <listener>
          <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
      </listener>
  -->

  <!--  *********************** -->

  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>

</web-app>

修改的内容如下

1.为Cas20ProxyReceivingTicketValidationFilter增加2个配置元素

    <init-param>
        <param-name>proxyCallbackUrl</param-name>
        <param-value>http://zhaoguoyu-pc:8080/proxyClient/proxyCallback</param-value>
    </init-param>
    <init-param>
        <param-name>proxyReceptorUrl</param-name>
        <param-value>/proxyCallback</param-value>
    </init-param>

2.增加映射URL(注意顺序),一定要在其他filter的前面

  <filter-mapping>
    <filter-name>CAS Validation Filter</filter-name>
    <url-pattern>/proxyCallback</url-pattern>
  </filter-mapping>


到这儿,可以作为一个普通服务可以作为代理使用了。

3.复制改名另外一个普通应用,作为后台应用(back-end service)

修改web.xml

   

 <filter>
        <filter-name>CAS Validation Filter</filter-name>
        <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>https://zhaoguoyu-pc/cas/</param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://hellocas2.com:8070</param-value>
        </init-param>
        <init-param>
            <param-name>acceptAnyProxy</param-name>
            <param-value>true</param-value>
        </init-param>    
    <init-param> 
        <param-name>redirectAfterValidation</param-name>
        <param-value>false</param-value>
    </init-param>    
    </filter>

添加了acceptAnyProxy 和redirectAfterValidation参数。支持接收代理


4.在proxy 应用下添加测试的Servlet

ProxyTestServlet HttpServlet {
    doPost(HttpServletRequest request, HttpServletResponse response) ServletException, IOException {
        String serviceUrl = "http://hellocas2.com:8070/mywebapp2/protected/";
        Assertion assertion = AssertionHolder.();
        String proxyTicket = assertion.getPrincipal().getProxyTicketFor(serviceUrl);
        URL url = URL(serviceUrl + + proxyTicket);
        HttpURLConnection conn = ;
        {
            conn = (HttpURLConnection) url.openConnection();
            responseCode = conn.getResponseCode();
            String responseMessage = conn.getResponseMessage();
            System..println(+responseCode);
            System..println();
            System..println();
            System..println(responseMessage);
        } (Exception ex) {
            ex.printStackTrace();
        } {
            (conn != ) {
                conn.disconnect();
            }
        }
    }

    doGet(HttpServletRequest request, HttpServletResponse response) ServletException, IOException {
        doPost(request, response);
    }
}

5.测试验证

前提:分别启动CAS-server,Cas-proxy,Cas-backend client

5.1 输入地址,http://zhaoguoyu-pc:8080/proxyClient。

5.2 输入用户名和密码

5.3 访问servlet

http://zhaoguoyu-pc:8080/proxyClient/proxyTestServlet

经过确认,反悔代码为200,和OK。表示测试通过。


如果想详细链接关于代理模式的原理,请参考

http://my.oschina.net/ichatter/blog/129642

http://blog.csdn.net/emon123/article/details/6285549

http://www.blogjava.net/security/archive/2006/04/26/SSO_CASProxy.html

http://www.myexception.cn/software-architecture-design/644728.html

http://init-life.com/web/2014/11/12/cas-workflows/

http://www.mytju.com/classcode/news_readNews.asp?newsID=503

https://wiki.jasig.org/display/CASC/CAS+Client+for+Java+3.1。


部署期间,我遇到这个坑爹的异常

<cas:serviceResponse xmlns:cas=‘http://www.yale.edu/tp/cas‘>

    <cas:authenticationFailure code=‘service.not.authorized.proxy‘>

        service.not.authorized.proxy

    </cas:authenticationFailure>

</cas:serviceResponse>

This is because proxy authn is turned off by default. Set the proxy flag in 
your service registry and off it goes.

感觉哪儿少配了个参数,硬是搜遍了大量博客,竟然没找到。最后自己看源码,一步步跟踪出来的。

本文出自 “简单” 博客,请务必保留此出处http://dba10g.blog.51cto.com/764602/1753244

以上是关于JAVA CAS单点登录之三:CAS代理模式演练的主要内容,如果未能解决你的问题,请参考以下文章

从http验证流程解析CAS单点登录

nginx配置反向代理CAS单点登录应用

JAVA CAS单点登录(SSO) 教程

discuz x2怎么实现cas单点登录?

nginx cas单点登录受影响吗

cas有些请求路径不需要单点登录过滤器拦截