Spring Security3源码分析(20)-CAS支持

2023年1月14日 405次阅读 来源: Spring Boot

Spring Security3对CAS的支持主要在这个spring-security-cas-client-3.0.2.RELEASE.jar包中 

Spring Security和CAS集成的配置资料很多。这里讲解的比较详细 

http://lengyun3566.iteye.com/blog/1358323

配置方面,主要为下面的部分:

Java代码  

  1. <security:http auto-config=“true” entry-point-ref=“casAuthEntryPoint” access-denied-page=“/error/403.jsp”>  
  2.     <security:custom-filter ref=“casAuthenticationFilter” position=“CAS_FILTER”/>  
  3.     <security:form-login login-page=“/login.jsp”/>  
  4.     <security:logout logout-success-url=“/login.jsp”/>  
  5.     <security:intercept-url pattern=“/admin.jsp*” access=“ROLE_ADMIN”/>  
  6.     <security:intercept-url pattern=“/index.jsp*” access=“ROLE_USER,ROLE_ADMIN”/>  
  7.     <security:intercept-url pattern=“/home.jsp*” access=“ROLE_USER,ROLE_ADMIN”/>  
  8.     <security:intercept-url pattern=“/**” access=“ROLE_USER,ROLE_ADMIN”/>   
  9. </security:http>  
  10.   
  11. <security:authentication-manager alias=“authenticationmanager”>  
  12.     <security:authentication-provider ref=“casAuthenticationProvider”/>  
  13. </security:authentication-manager>  
  14.   
  15. <bean id=“casAuthenticationProvider” class=“org.springframework.security.cas.authentication.CasAuthenticationProvider”>  
  16.         <property name=“ticketValidator” ref=“casTicketValidator”/>  
  17.         <property name=“serviceProperties” ref=“casService”/>  
  18.         <property name=“key” value=“docms”/>  
  19.         <property name=“authenticationUserDetailsService” ref=“authenticationUserDetailsService”/>  
  20. </bean>  
  21.   
  22. <bean id=“casAuthEntryPoint” class=“org.springframework.security.cas.web.CasAuthenticationEntryPoint”>  
  23.         <property name=“loginUrl” value=“https://server:8443/cas/login”/>  
  24.         <property name=“serviceProperties” ref=“casService”/>  
  25. </bean>     
  26.   
  27. <bean id=“casService” class=“org.springframework.security.cas.ServiceProperties”>  
  28.     <property name=“service” value=“http://localhost:8888/docms/j_spring_cas_security_check”/>  
  29. </bean>     
  30.   
  31. <bean id=“casAuthenticationFilter” class=“org.springframework.security.cas.web.CasAuthenticationFilter”>  
  32.         <property name=“authenticationManager” ref=“authenticationmanager”/>  
  33. </bean>  
  34.   
  35. <bean id=“casTicketValidator” class=“org.jasig.cas.client.validation.Cas20ServiceTicketValidator”>  
  36.         <constructor-arg value=“https://server:8443/cas/”/>  
  37. </bean>  
  38.   
  39. <bean id=“authenticationUserDetailsService” class=“org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper”>  
  40.         <property name=“userDetailsService” ref=“userDetailsManager”/>  
  41. </bean>     

 

这里需要强调一下http标签的entry-point-ref属性,因为之前没有着重的介绍,英文的意思是入口点引用。为什么需要这个入口点呢。这个入口点其实仅仅是被ExceptionTranslationFilter引用的。前面已经介绍过ExceptionTranslationFilter过滤器的作用是异常翻译,在出现认证异常、访问异常时,通过入口点决定redirect、forward的操作。比如现在是form-login的认证方式,如果没有通过UsernamePasswordAuthenticationFilter的认证就直接访问某个被保护的url,那么经过ExceptionTranslationFilter过滤器处理后,先捕获到访问拒绝异常,并把跳转动作交给入口点来处理。form-login的对应入口点类为LoginUrlAuthenticationEntryPoint,这个入口点类的commence方法会redirect或forward到指定的url(form-login标签的login-page属性) 

清楚了entry-point-ref属性的意义。那么与CAS集成时,如果访问一个受保护的url,就通过CAS认证对应的入口点org.springframework.security.cas.web.CasAuthenticationEntryPoint类redirect到loginUrl属性所配置的url中,即一般为CAS的认证页面(比如:https://server:8443/cas/login)。

下面为CasAuthenticationEntryPoint类的commence方法。其主要任务就是构造跳转的url,再执行redirect动作。根据上面的配置,实际上跳转的url为:https://server:8443/cas/login?service=http%3A%2F%2Flocalhost%3A8888%2Fdocms%2Fj_spring_cas_security_check

Java代码  

  1. public final void commence(final HttpServletRequest servletRequest, final HttpServletResponse response,  
  2.         final AuthenticationException authenticationException) throws IOException, ServletException {  
  3.   
  4.     final String urlEncodedService = createServiceUrl(servletRequest, response);  
  5.     final String redirectUrl = createRedirectUrl(urlEncodedService);  
  6.   
  7.     preCommence(servletRequest, response);  
  8.     response.sendRedirect(redirectUrl);  
  9. }  

 

 

接下来继续分析custom-filter ref=”casAuthenticationFilter” position=”CAS_FILTER”

这是一个自定义标签,并且在过滤器链中的位置是CAS_FILTER。这个过滤器在何时会起作用呢?带着这个疑问继续阅读源码

CasAuthenticationFilter对应的类路径是

org.springframework.security.cas.web.CasAuthenticationFilter

这个类与UsernamePasswordAuthenticationFilter一样,都继承于AbstractAuthenticationProcessingFilter。实际上所有认证过滤器都继承这个抽象类,其过滤器本身只要实现attemptAuthentication方法即可。

CasAuthenticationFilter的构造方法直接向父类的构造方法传入/j_spring_cas_security_check用于判断当前请求的url是否需要进一步的认证处理

Java代码  

  1. public CasAuthenticationFilter() {  
  2.     super(“/j_spring_cas_security_check”);  
  3. }  

CasAuthenticationFilter类的attemptAuthentication方法源码如下

Java代码  

  1. public Authentication attemptAuthentication(final HttpServletRequest request, final HttpServletResponse response)  
  2.         throws AuthenticationException {  
  3.     //设置用户名为有状态标识符  
  4.     final String username = CAS_STATEFUL_IDENTIFIER;  
  5.     //获取CAS认证成功后返回的ticket  
  6.     String password = request.getParameter(this.artifactParameter);  
  7.   
  8.     if (password == null) {  
  9.         password = “”;  
  10.     }  
  11.     //构造UsernamePasswordAuthenticationToken对象  
  12.     final UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);  
  13.   
  14.     authRequest.setDetails(authenticationDetailsSource.buildDetails(request));  
  15.     //由认证管理器完成认证工作  
  16.     return this.getAuthenticationManager().authenticate(authRequest);  
  17. }  

 在之前的源码分析中,已经详细分析了认证管理器AuthenticationManager认证的整个过程,这里就不再赘述了。

 

由于AuthenticationManager是依赖于具体的AuthenticationProvider的,所以接下来看

Xml代码  

  1. <security:authentication-manager alias=“authenticationmanager”>  
  2. <security:authentication-provider ref=“casAuthenticationProvider”/>  
  3. </security:authentication-manager>  

注意这里的ref属性定义。如果没有使用CAS认证,此处一般定义user-service-ref属性。这两个属性的区别在于

ref:直接将ref依赖的bean注入到AuthenticationProvider的providers集合中

user-service-ref:定义DaoAuthenticationProvider的bean注入到AuthenticationProvider的providers集合中,并且DaoAuthenticationProvider的变量userDetailsService由user-service-ref依赖的bean注入。

 

由此可见,采用CAS认证时,AuthenticationProvider只有AnonymousAuthenticationProvider和CasAuthenticationProvider

 

继续分析CasAuthenticationProvider是如何完成认证工作的

Java代码  

  1. public Authentication authenticate(Authentication authentication) throws AuthenticationException {  
  2.     //省略若干判断  
  3.     CasAuthenticationToken result = null;  
  4.     //注意这里的无状态条件。主要用于无httpsession的环境中。如soap调用  
  5.     if (stateless) {  
  6.         // Try to obtain from cache  
  7.         //通过缓存来存储认证实体。主要避免每次请求最新ticket的网络开销  
  8.         result = statelessTicketCache.getByTicketId(authentication.getCredentials().toString());  
  9.     }  
  10.   
  11.     if (result == null) {  
  12.         result = this.authenticateNow(authentication);  
  13.         result.setDetails(authentication.getDetails());  
  14.     }  
  15.   
  16.     if (stateless) {  
  17.         // Add to cache  
  18.         statelessTicketCache.putTicketInCache(result);  
  19.     }  
  20.   
  21.     return result;  
  22. }  
  23.   
  24. //完成认证工作  
  25. private CasAuthenticationToken authenticateNow(final Authentication authentication) throws AuthenticationException {  
  26.     try {  
  27.         //通过cas client的ticketValidator完成ticket校验,并返回身份断言  
  28.         final Assertion assertion = this.ticketValidator.validate(authentication.getCredentials().toString(), serviceProperties.getService());  
  29.        //根据断言信息构造UserDetails   
  30.         final UserDetails userDetails = loadUserByAssertion(assertion);  
  31.        //检查账号状态  
  32.        userDetailsChecker.check(userDetails);  
  33.        //构造CasAuthenticationToken  
  34.         return new CasAuthenticationToken(this.key, userDetails, authentication.getCredentials(), userDetails.getAuthorities(), userDetails, assertion);  
  35.     } catch (final TicketValidationException e) {  
  36.         throw new BadCredentialsException(e.getMessage(), e);  
  37.     }  
  38. }  
  39.   
  40. //通过注入的authenticationUserDetailsService根据token中的认证主体即用户名获取UserDetails   
  41. protected UserDetails loadUserByAssertion(final Assertion assertion) {  
  42.     final CasAssertionAuthenticationToken token = new CasAssertionAuthenticationToken(assertion, “”);  
  43.     return this.authenticationUserDetailsService.loadUserDetails(token);  
  44. }  

需要注意的是为什么要定义authenticationUserDetailsService这个bean。由于CAS需要authentication-manager标签下定义<security:authentication-provider ref=”casAuthenticationProvider”/>,而不是之前所介绍的
user-service-ref属性,所以这里仅仅定义了一个provider,而没有注入UserDetailsService,所以这里需要单独定义authenticationUserDetailsService这个bean,并注入到CasAuthenticationProvider中。

这里需要对CasAuthenticationToken、CasAssertionAuthenticationToken单独解释一下

CasAuthenticationToken:一个成功通过的CAS认证,与UsernamePasswordAuthenticationToken一样,都是继承于AbstractAuthenticationToken,并且最终会保存到SecurityContext上下文、session中

CasAssertionAuthenticationToken:一个临时的认证对象用于辅助获取UserDetails

 

配置文件中几个bean定义这里就不一一分析了,都是为了辅助完成CAS认证、跳转的工作。 

 

现在,可以对整个CAS认证的过程总结一下了:

1.客户端发起一个请求,试图访问系统系统中受保护的url

2.各filter链进行拦截并做相应处理,由于没有通过认证,ExceptionTranslationFilter过滤器会捕获到访问拒绝异常,并把该异常交给入口点处理

3.CAS 认证对应的入口点直接跳转到CAS Server端的登录界面,并携带参数service(一般为url:……/j_spring_cas_security_check)

4.CAS Server对登录信息进行处理,如果登录成功,就跳转到应用系统中service指定的url,并携带ticket

5.应用系统中的各filter链再次对该url拦截,此时CasAuthenticationFilter拦截到j_spring_cas_security_check,就会对ticket进行验证,验证成功返回一个身份断言,再通过身份断言从当前应用系统中获取对应的UserDetails、GrantedAuthority。此时,如果步骤1中受保护的url权限列表有一个权限存在于GrantedAuthority列表中,说明有权限访问,直接响应客户端所试图访问的url

    原文作者:Spring Boot
    原文地址: https://blog.csdn.net/benjamin_whx/article/details/39225291
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞