1. 程式人生 > >Spring Security整合CAS客戶端

Spring Security整合CAS客戶端

在正常的開發過程中,一般會使用spring Security等安全框架來進行登入使用者的攔截,因為使用安全框架,可以配置特定的角色訪問特定的資源,這裡簡單說明Sping Security整合CAS的使用

Spring Security整合CAS
  1. 建立maven工程,引入spring和spring security的相關依賴,配置tomcat外掛啟動專案,埠為9090,並且引入Spring Security與 CAS整合的依賴
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<groupId>cn.itcast.demo</groupId>
	<artifactId>casclient_demo3</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<packaging>war</packaging>

	<properties>
		<spring.version>4.2.4.RELEASE</spring.version>
	</properties>

	<dependencies>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-core</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-web</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-webmvc</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-context-support</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-test</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-jdbc</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>4.1.0.RELEASE</version>
		</dependency>

		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>4.1.0.RELEASE</version>
		</dependency>

		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>servlet-api</artifactId>
			<version>2.5</version>
			<scope>provided</scope>
		</dependency>

		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-cas</artifactId>
			<version>4.1.0.RELEASE</version>
		</dependency>
		
		<dependency>
			<groupId>org.jasig.cas.client</groupId>
			<artifactId>cas-client-core</artifactId>
			<version>3.3.3</version>
			<exclusions>
				<exclusion>
					<groupId>org.slf4j</groupId>
					<artifactId>log4j-over-slf4j</artifactId>
				</exclusion>
			</exclusions>
		</dependency>
	</dependencies>
	<build>
		<plugins>
			<plugin>
				<groupId>org.apache.maven.plugins</groupId>
				<artifactId>maven-compiler-plugin</artifactId>
				<version>3.2</version>
				<configuration>
					<source>1.7</source>
					<target>1.7</target>
					<encoding>UTF-8</encoding>
				</configuration>
			</plugin>
			<plugin>
				<groupId>org.apache.tomcat.maven</groupId>
				<artifactId>tomcat7-maven-plugin</artifactId>
				<configuration>
					<port>9090</port>
					<path>/</path>
				</configuration>
			</plugin>
		</plugins>
	</build>
</project>
  1. 建立web.xml ,載入springSecurity的配置檔案和springMVC的配置檔案
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://java.sun.com/xml/ns/javaee"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
	version="2.5">
	<!-- 載入spring security的配置檔案(其實就是spring配置檔案) -->
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:spring-security.xml</param-value>
	</context-param>
	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>
	<!-- spring security的過濾器,過濾所有的請求 -->
	<filter>	<!-- filter-name是spring security內建好的過濾器名稱,固定要是:springSecurityFilterChain -->
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<servlet>
		<servlet-name>springmvc</servlet-name>
		<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
		<!-- 指定載入的配置檔案 ,通過引數contextConfigLocation載入 -->
		<init-param>
			<param-name>contextConfigLocation</param-name>
			<param-value>classpath:springmvc.xml</param-value>
		</init-param>
	</servlet>
	<servlet-mapping>
		<servlet-name>springmvc</servlet-name>
		<url-pattern>*.do</url-pattern>
	</servlet-mapping>
</web-app>
  1. 建立springMVC的配置檔案,這裡springMVC的作用是簡單的建立一個controller,通過訪問這個controller的一個方法,來獲取當前登入的使用者名稱,下面會詳細講到
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
	xmlns:context="http://www.springframework.org/schema/context"
	xmlns:dubbo="http://code.alibabatech.com/schema/dubbo" xmlns:mvc="http://www.springframework.org/schema/mvc"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd
        http://code.alibabatech.com/schema/dubbo http://code.alibabatech.com/schema/dubbo/dubbo.xsd
        http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd">
   
   	<context:component-scan base-package="cn.dss.demo"/>
	<mvc:annotation-driven/>

</beans>
  1. 建立配置檔案spring-security.xml,這裡主要是配置了Spring Security整合CAS的相關配置,內容很多,比較抽象,裡面的註釋都是我個人的理解,僅供參考
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
	
	<!-- use-expressions="false"表示spring security的配置角色時的關閉表示式 -->
	<!--   entry-point-ref  入口點引用,因為原來的spring security有自己的登入入口,但是這裡集成了cas,所以要使用cas的登入入口,在這裡配置cas的入口點的引用 -->
	<http use-expressions="false" entry-point-ref="casProcessingFilterEntryPoint">
		
		<!-- 表示要訪問根目錄下的所有資源,需要是ROLE_USER這個角色 -->  
        <intercept-url pattern="/**" access="ROLE_USER"/>   
        
        <!-- 關閉csrg請求 -->
        <csrf disabled="true"/>  
         
        <!-- custom-filter為Spring security過濾器  -->
        <!-- 因為過濾器的配置有先後之分,而spring security中也有很多內建的過濾器,而且它給每個過濾器都定義了一個別名,可以直接用別名來標識某個過濾器,如下CAS_FILTER,LOGOUT_FILTER等都是內建過濾的別名 -->
        <!-- 這裡需要自定義幾個過濾器,加入spring security中,position 表示將過濾器放在指定的位置上,before表示放在指定位置之前  ,after表示放在指定的位置之後 -->           
        <custom-filter ref="casAuthenticationFilter"  position="CAS_FILTER" />      
        <custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER"/>  
        <custom-filter ref="singleLogoutFilter" before="CAS_FILTER"/>  
    </http>
    
    
  	<!-- CAS入口點 開始 ,這裡就是定一個了一個CAS入口點-->
    <beans:bean id="casProcessingFilterEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint">  
        <!-- 單點登入伺服器登入URL,也就是cas登入頁面的訪問路徑 -->  
        <beans:property name="loginUrl" value="http://localhost:9100/cas/login"/>  
        
        <!-- 這裡需要引用一個服務引數 -->
        <beans:property name="serviceProperties" ref="serviceProperties"/>  
    </beans:bean>      
    <beans:bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">  
        <!--service 配置自身工程的根地址+/login/cas,表示是通過自身工程跳轉到cas的登入頁面,/login/cas 這個是security整合cas的固定寫法   -->  
        <beans:property name="service" value="http://localhost:9090/login/cas"/>
    </beans:bean>  
    <!-- CAS入口點 結束 -->

    
    <!-- 認證過濾器 開始 -->
    <beans:bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">  
    	<!-- 引入一個security的認證管理器 -->
        <beans:property name="authenticationManager" ref="authenticationManager"/>  
    </beans:bean>  
	<!-- 認證管理器 -->
	<authentication-manager alias="authenticationManager">
		<!-- 引入一個 security的認證提供者-->
		<authentication-provider  ref="casAuthenticationProvider"/>
	</authentication-manager>
		<!-- 認證提供者 -->
	<beans:bean id="casAuthenticationProvider"     class="org.springframework.security.cas.authentication.CasAuthenticationProvider">  
        <!-- 這裡是引入一個自定義的認證類,是需要自己書寫,但是認證的功能交給了cas去做,可以在這個類裡面根據使用者名稱,獲取security中的角色列表,要獲取角色列表,才能訪問上面配置的資源 -->
        <beans:property name="authenticationUserDetailsService">  
            <beans:bean class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">  
                <beans:constructor-arg ref="userDetailsService" />  
            </beans:bean>  
        </beans:property> 
        
        <!-- 這裡也需要引入一個服務引數,注入自身工程的路徑,表示是從那個url跳到cas的登入頁面 --> 
        <beans:property name="serviceProperties" ref="serviceProperties"/>  
       
        <!-- ticketValidator 為票據驗證器 -->
        <beans:property name="ticketValidator">  
            <beans:bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">  
            	<!-- 單點登入伺服器cas的訪問路徑,用來校驗票據 -->  
                <beans:constructor-arg index="0" value="http://localhost:9100/cas"/>  
            </beans:bean>  
        </beans:property>  
        
        <!-- 這個是一個固定引數 -->
        <beans:property name="key" value="an_id_for_this_auth_provider_only"/> 
    </beans:bean>        
   		 <!-- 認證類 -->
	<beans:bean id="userDetailsService" class="cn.itcast.demo.service.UserDetailServiceImpl"/>  
	
	<!-- 認證過濾器 結束 -->
	
	
	<!-- 單點登出  開始  --> 
	<!-- 這個過濾器表示對cas服務端進行單點登出 -->    
    <beans:bean id="singleLogoutFilter" class="org.jasig.cas.client.session.SingleSignOutFilter"/>          
    
    <!-- 這個過濾器表示,客戶端進行單點登出 -->
    <beans:bean id="requestSingleLogoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter">  
        <!-- 這個配置的是cas登出的路徑,後面service引數表示登出後,重定向的url,而且service引數名固定是這個 -->
        <beans:constructor-arg value="http://localhost:9100/cas/logout?service=http://www.baidu.com"/>  
        
        <beans:constructor-arg>  
            <beans:bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"/>  
        </beans:constructor-arg>  
        
        <!-- 這個表示,在我們的系統中,只要請求/logout/cas,就相當於訪問了上面配置的cas的登出路徑 -->
        <beans:property name="filterProcessesUrl" value="/logout/cas"/>  
    </beans:bean>  
    <!-- 單點登出  結束 -->  
</beans:beans>
  1. 建立一個html頁面,用於測試方便
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>首頁</title>
</head>
<body>
登入成功...<br/>
<a href="/logout/cas">退出登入</a>
</body>
</html>
  1. 因為使用了security,所以要寫一個自定的認證類,這個認證類在這裡的主要作用就是返回當前認證成功的使用者的角色列表(詳細看spring-security.xml這個配置檔案)
public class UserDetailServiceImpl implements UserDetailsService {

	@Override
	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException {
		
		System.out.println("經過認證類..." + username);
		
		List<GrantedAuthority> authorities = new ArrayList<>();
		authorities.add(new SimpleGrantedAuthority("ROLE_USER"));		//這個角色名需要在security.xml檔案中配置好
		
		//這裡只需要返回認證的username和角色類別,當單獨使用security時,需要在這裡根據使用者名稱查詢密碼,再返回密碼,通過security進行認證,但是集成了cas之後,認證的工作就由cas完成了
		return new User(username, "", authorities);
	}
}

至此,spring security整合cas就完成了,首先啟動cas,我這裡的埠是9100,然後啟動這個測試專案,在瀏覽器輸入http://localhost:9090/index.html後,因為沒有登入,頁面就會自動跳轉到cas的登入頁面,在那個登入頁面登入成功之後,又會回到這個index.html頁面 在這裡插入圖片描述

  1. 通過security獲取當前登入的使用者名稱 建立一個Controller類
@RestController
public class UserController {
	@RequestMapping("/findLoginUser")
	public void findLoginUser() {
		String name = SecurityContextHolder.getContext().getAuthentication()
				.getName();
		System.out.println(name);
	}
}

當登入成功之後,在瀏覽器訪問http://localhost:9090/findLoginUser.do,就能在控制檯看到輸出當前登入的使用者名稱,這個是spring security的知識。

  1. 單點登出 在index.html頁面中有一個a標籤,請求的路徑是/logout/cas,當點選這個a標籤後,就能退出登入,並且跳轉到百度頁面,詳細原因,參考spring-security.xml檔案中的相關配置,如下:
<!-- 單點登出  開始  --> 
<!-- 這個過濾器表示對cas服務端進行單點登出 -->    
   <beans:bean id="singleLogoutFilter" class="org.jasig.cas.client.session.SingleSignOutFilter"/>          
   
   <!-- 這個過濾器表示,客戶端進行單點登出 -->
   <beans:bean id="requestSingleLogoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter">  
       <!-- 這個配置的是cas登出的路徑,後面service引數表示登出後,重定向的url,而且service引數名固定是這個 -->
       <beans:constructor-arg value="http://localhost:9100/cas/logout?service=http://www.baidu.com"/>  
       
       <beans:constructor-arg>  
           <beans:bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"/>  
       </beans:constructor-arg>  
       
       <!-- 這個表示,在我們的系統中,只要請求/logout/cas,就相當於訪問了上面配置的cas的登出路徑 -->
       <beans:property name="filterProcessesUrl" value="/logout/cas"/>  
   </beans:bean>  
   <!-- 單點登出  結束 -->