CAS Spring Security Java - 未使用用户详细信息授权服务未加载角色
Posted
技术标签:
【中文标题】CAS Spring Security Java - 未使用用户详细信息授权服务未加载角色【英文标题】:CAS Spring Security Java - Not Authorizing with User Details Service Not Loading Roles 【发布时间】:2014-01-03 02:24:10 【问题描述】:我正在使用最新版本的 spring 3.2.5 和 spring security 3.1.4 和 java 6。我已经使用此页面中的说明设置了 CAS 服务器 https://wiki.jasig.org/display/CASUM/Best+Practice+-+Setting+Up+CAS+Locally+using+the+Maven+WAR+Overlay+Method
CAS 服务器部分工作正常并进行身份验证。 我已经使用此页面和其他各种页面中的说明设置客户端 https://wiki.jasig.org/display/CASC/Configuring+the+JA-SIG+CAS+Client+for+Java+using+Spring
当尝试在应用程序中进入安全页面时,CAS 正在重定向到正确的登录页面,然后正确地进行身份验证,然后正确地重定向到调用应用程序页面,但没有调用提供的用户详细信息服务,也没有授权用户并且没有使用用户详细信息服务加载角色。
身份验证后,用户登陆此页面。该页面是正确的,但我不想在 URL 中看到票证参数,也不想使用提供的用户详细信息服务 bean 加载用户和角色。
http://localhost:8080/my/sports-life/schedule?ticket=ST-3-xklhdGJW6gZxieELGxo5-cas01.example.org
非常感谢任何让我获得授权的指针。提前致谢。
以下是应用上下文中的相关 bean
<!-- Single sign on with CAS -->
<bean id="casEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint">
<property name="loginUrl" value="https://localhost:8443/cas/login"/>
<property name="serviceProperties" ref="serviceProperties"/>
</bean>
<bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">
<property name="service" value="http://localhost:8080/my/sports-life/schedule/j_spring_cas_security_check"/>
<property name="sendRenew" value="false"/>
</bean>
<bean id="casFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">
<property name="authenticationManager" ref="preAuthenticationManager"/>
<property name="authenticationSuccessHandler">
<bean class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
<property name="defaultTargetUrl" value="/my"/>
<property name="targetUrlParameter" value="spring-security-redirect" />
</bean>
</property>
</bean>
<bean id="casAuthenticationProvider" class="org.springframework.security.cas.authentication.CasAuthenticationProvider">
<property name="userDetailsService" ref="myAccountDetailsService" />
<property name="serviceProperties" ref="serviceProperties" />
<property name="ticketValidator">
<bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
<constructor-arg index="0" value="https://localhost:8443/cas" />
</bean>
</property>
<property name="key" value="Vi9Pra88Si777"/>
<property name="authenticationUserDetailsService" ref="authenticationUserDetailsService"/>
</bean>
<bean id="authenticationUserDetailsService" class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
<property name="userDetailsService" ref="myAccountDetailsService"/>
</bean>
<bean name="authenticationFilter" class="org.jasig.cas.client.authentication.AuthenticationFilter">
<property name="casServerLoginUrl" value="https://localhost:8443/cas/login" />
<property name="renew" value="false" />
<property name="gateway" value="false" />
<property name="service" value="http://localhost:8080/my/sports-life/schedule" />
</bean>
<!--
<bean
name="ticketValidationFilter"
class="org.jasig.cas.client.validation.Cas10TicketValidationFilter">
<property name="service" value="http://localhost:8080/my/sports-life/schedule" />
<property name="ticketValidator">
<bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
<constructor-arg index="0" value="https://localhost:8443/cas" />
</bean>
</property>
</bean>
-->
<bean id="preauthAuthProvider"
class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
<bean id="userDetailsServiceWrapper"
class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
<property name="userDetailsService" ref="myAccountDetailsService"/>
</bean>
</property>
</bean>
<!--
<bean id="preAuthEntryPoint" class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint" />
<bean id="j2eePreAuthFilter" class="org.springframework.security.web.authentication.preauth.j2ee.J2eePreAuthenticatedProcessingFilter">
<property name="authenticationManager" ref="preAuthenticationManager"/>
<property name="authenticationDetailsSource">
<bean class="org.springframework.security.web.authentication.WebAuthenticationDetailsSource" />
</property>
</bean>
-->
<bean id="myAccountDetailsService" class="com.viprasi.security.AccountDetailsServiceImpl">
</bean>
然后这里是我的 spring 安全配置文件中的相关配置。
<http use-expressions="true" entry-point-ref="casEntryPoint">
<intercept-url pattern="/app/j_spring_cas*" access="permitAll"
requires-channel="https" />
<!-- Member -->
<intercept-url pattern="/app/**" access="isAuthenticated()" />
<access-denied-handler error-page="/app/login/accessdenied" />
<anonymous />
<http-basic />
<custom-filter position="CAS_FILTER" ref="casFilter" />
</http>
<authentication-manager alias="preAuthenticationManager">
<authentication-provider ref="casAuthenticationProvider" />
<!--
<authentication-provider user-service-ref='accountDetailsService' />
-->
</authentication-manager>
【问题讨论】:
【参考方案1】:我认为 anonymous 标签会将角色 *IS_AUTHENTICATED_ANONYMOUSLY* 应用于用户。 这样做的结果是用户 isAuthenticated() 并且没有调用进一步的过滤器(例如调用 UserDetailsServive 的那个) 将 isAuthenticated() 更改为 hasRole('ROLE')
【讨论】:
按照您的建议将其更改为 hasRole 后,我仍然看到相同的行为。我的断点都没有达到,而这些断点应该在授权过程中达到。看起来好像我缺少一些过滤器或其他一些 bean 包含。感谢您的建议,这在这方面非常有效。【参考方案2】:我有一个例子cas client你可以在 cas-web-client 查看如何提供你自己的授权
【讨论】:
【参考方案3】:我们遇到了很多问题,最终罪魁祸首是 url 重写过滤器。此过滤器正在更改 url,然后 spring security 和 cas 未能处理更改的 URL。将 url rewrite 过滤器移到安全过滤器下方后,一切都开始工作了。
【讨论】:
以上是关于CAS Spring Security Java - 未使用用户详细信息授权服务未加载角色的主要内容,如果未能解决你的问题,请参考以下文章
spring security+cas(cas proxy配置)
Spring-security-cas 插件单点注销不起作用
Grails Spring Security 和 CAS 问题