一、单点登录(SSO,Single Sign On)整合
目前计划接入统一门户的所有业务系统均为基于JavaEE技术的B/S架构系统。由于统一门户的单点登录技术选用的是JA-SIG组织开发的Cas Server,故为了与Cas Server进行无缝整合,各业务系统选用的技术依然是由JA-SIG组织开发的Cas Client。
根据各业务系统服务端技术架构的不同,现提供如下2种整合方式:
1. 在web.xml中配置4个过滤器
此方式适用于所有JavaWeb应用。
1) 所需jar
cas-client-core-3.3.3.jar
slf4j-api-1.7.1.jar
2) 配置4个过滤器(其中两个可选)
<filter> <filter-name>CAS Authentication Filter</filter-name> <filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class> <init-param> <param-name>casServerLoginUrl</param-name> <param-value>http://CAS_SERVER/cas-server/login</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>http://CAS_CLIENT</param-value> </init-param> </filter> <filter-mapping> <filter-name>CAS Authentication Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
说明:
<1> casServerLoginUrl - CasServer的地址。其中cas-server为CasServer的应用名,对于所有接入统一门户的系统来说,其值应为ac。例如:http://172.16.49.243:7001/ac/login
<2> serverName - 本业务系统的IP+端口。例如:http://localhost:8080
<3> 当在CasServer端验证完毕后,CasServer会重定向到业务系统,重定向的URL是serverName+业务系统的名称。例如:http://localhost:8080/bxloan。业务系统需为此URL映射提供服务端处理逻辑,以便接收由CasServer认证后的用户工号。
<4> 配置serverName后,由CasServer认证后的重定向URL只能是系统根路径。若需自定义认证后的重定向URL,需要删除serverName的init-param,改用service。在service中指定认证后的重定向URL。例如:http://localhost:8080/bxloan/cas
<5> 如想要认证过程中放过某些url(如webservices,/services/*),可以使用ignorePattern或ignoreUrlPatternType。
<!-- 使用CAS 2.0协议校验票据 --> <filter> <filter-name>CAS Validation Filter</filter-name> <filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class> <init-param> <param-name>casServerUrlPrefix</param-name> <param-value>http://CAS_SERVER/cas-server</param-value> </init-param> <init-param> <param-name>serverName</param-name> <param-value>http://CAS_CLIENT</param-value> </init-param> </filter> <filter-mapping> <filter-name>CAS Validation Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
说明:
<1> casServerUrlPrefix - CasServer的URL前缀。对于统一门户来说,应为:http://172.16.49.243:7001/ac
<2> serverName -本业务系统的IP+端口。例如:http://localhost:8080。此URL会传给CAS服务端用以票据校验。
<!-- 包装了HttpServletRequest, 使得可以通过getRemoteUser()和getPrincipal()可以返回CAS相关入口 --> <filter> <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> <filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
说明:
<1> 可选配置。
<2> 配置后,可以使用javax.servlet.http.HttpServletRequest.getRemoteUser() 来获取到CasServer服务端发送过来的认证后的用户工号。
<!-- 在ThreadLocal中放置应用中部分功能需要的访问的断言 --> <filter> <filter-name>CAS Assertion Thread Local Filter</filter-name> <filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS Assertion Thread Local Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
说明:
<1> 可选配置。
<2> 配置后,可以从与本地线程绑定的Assertion中获取用户。获取方法:AssertionHolder.getAssertion()
.getPrincipal().getName()。
2. 与Spring+Shiro的配置
此方式适用于项目中已包含Spring+Shiro的项目。
1) Maven配置
Shiro 1.2.0之后的版本提供了与Cas Client的整合。
<!-- SECURITY begin --> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-ehcache</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-quartz</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-cas</artifactId> <version>${shiro.version}</version> </dependency> <dependency> <groupId>net.sf.ehcache</groupId> <artifactId>ehcache-core</artifactId> <version>${ehcache.version}</version> </dependency> <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</artifactId> <version>${commons-codec.version}</version> </dependency> <!-- SECURITY end -->
2) web.xml
<1> 让Spring加载shiro配置文件
<context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath*:applicationContext.xml classpath*:applicationContext-shiro.xml </param-value> </context-param>
<2> 以Spring的方式配置Shiro过滤器
<filter> <filter-name>shiroFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> <init-param> <param-name>targetFilterLifecycle</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>shiroFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
3) applicationContext-shiro.xml
<?xml version="1.0" encoding="UTF-8" ?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd" default-lazy-init="true"> <description>Shiro安全配置</description> <!-- Shiro的Web过滤器 --> <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"> <property name="securityManager" ref="securityManager" /> <property name="loginUrl" value="${shiro.loginUrl}" /> <property name="successUrl" value="${shiro.successUrl}" /> <property name="filters"> <map> <entry key="cas" value-ref="casFilter" /> </map> </property> <property name="filterChainDefinitions"> <value> /static/** = anon /cas = cas /** = user </value> </property> </bean> <!-- 安全管理器 --> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <property name="realm" ref="casRealm" /> <property name="cacheManager" ref="shiroEhcacheManager" /> <property name="subjectFactory" ref="casSubjectFactory" /> </bean> <bean id="casRealm" class="com.coamctech.portal.web.security.MyCasRealm" depends-on="userDao"> <property name="userMngService" ref="userMngService" /> <property name="casServerUrlPrefix" value="${cas.casServerUrlPrefix}" /> <property name="casService" value="${cas.casService}" /> </bean> <!-- 用户授权信息Cache, 采用EhCache --> <bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"> <property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml" /> </bean> <bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory" /> <bean id="casFilter" class="com.coamctech.portal.web.security.MyCasFilter" /> <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) --> <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean"> <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager" /> <property name="arguments" ref="securityManager" /> </bean> <!-- Shiro生命周期处理器 --> <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /> </beans>
4) applicatoin.properties
#cas settings
ac.host=http://172.16.49.243:7001
local.host=http://localhost:8080
#shiro-cas settings
shiro.loginUrl=${cas.casServerUrlPrefix}?service=${cas.casService}
shiro.successUrl=/
cas.casServerUrlPrefix=${ac.host}/ac
cas.casService=${local.host}/portal/cas
此为applicationContext-shiro.xml中占位符的内容。
在applicatonContext-shiro中,有两个绿色的bean不是来自Shiro或Spring。这两个bean分别对框架提供的默认功能提供了一些扩展。以下内容会涉及Shiro的知识,请先了解Shiro。
5) 扩展CasRealm
package com.coamctech.portal.web.security; import java.util.List; import java.util.Map; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc.SimpleAuthenticationInfo; import org.apache.shiro.authz.AuthorizationInfo; import org.apache.shiro.cas.CasRealm; import org.apache.shiro.subject.PrincipalCollection; import org.apache.shiro.subject.SimplePrincipalCollection; import org.apache.shiro.util.CollectionUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.beans.BeanUtils; import com.coamctech.portal.entity.User; import com.coamctech.portal.service.usermng.UserMngService; public class MyCasRealm extends CasRealm { private static final Logger logger = LoggerFactory.getLogger(MyCasRealm.class); private UserMngService userMngService; public void setUserMngService(UserMngService userMngService) { this.userMngService = userMngService; } /** * 认证 */ @SuppressWarnings("unchecked") @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { SimpleAuthenticationInfo info = (SimpleAuthenticationInfo) super.doGetAuthenticationInfo(token); PrincipalCollection principalCollection = info.getPrincipals(); List<Object> listPrincipals = principalCollection.asList(); String username = (String) listPrincipals.get(0); logger.info("cas-username:" + username); Map<String, String> attributes = (Map<String, String>) listPrincipals.get(1); ShiroUser shiroUser = getShiroUser(username); List<Object> shiroPrincipals = CollectionUtils.asList(shiroUser, attributes); principalCollection = new SimplePrincipalCollection(shiroPrincipals, getName()); info.setPrincipals(principalCollection); return info; } private ShiroUser getShiroUser(String username) { User user = userMngService.getByUsername(username); ShiroUser shiroUser = new ShiroUser(); BeanUtils.copyProperties(user, shiroUser); return shiroUser; } /** * 鉴权 */ @Override protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) { return super.doGetAuthorizationInfo(principals); } }
Shiro的Realm用来获取用户相关信息。CasRealm的doGetAuthenticationInfo()返回的认证信息(AuthenticationInfo)中只保存了由CasServer传过来的用户工号。那么,我们在业务代码(或许是某个Controller)中通过SecurityUtils.getSubject().getPrincipal() 获取到的就只是这个工号。
如果想在每次调用 SecurityUtils.getSubject().getPrincipal() 时获取完整的当前用户信息,则需要在获取到用户工号后,根据用户工号查询业务系统中的用户表,加载用户相关信息,然后再保存至认证信息(AuthenticationInfo)中。
也即MyCasRealm重写doGetAuthenticationInfo() 中完成的过程。
6) 扩展CasFilter
package com.coamctech.portal.web.security; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.cas.CasFilter; public class MyCasFilter extends CasFilter { public static final String ERROR_KEY_ATTRIBUTE_NAME = MyCasFilter.class.getName() + ".casShiroLoginFailure"; @Override protected boolean onLoginFailure(AuthenticationToken token, AuthenticationException ae, ServletRequest request, ServletResponse response) { String className = ae.getClass().getName(); request.setAttribute(ERROR_KEY_ATTRIBUTE_NAME, className); return true; } }
Shiro在认证过程中如果出现异常,则会将异常交给开发人员自己处理。CasFilter在onLoginFailure()中的默认处理是,重定向到failureUrl,而failureUrl则指向某个页面。但遗憾的,是在failureUrl指向的页面中,并不能获取到异常的详细信息(因为Shiro并没把异常信息放进去,所以我们当然获取不到)。从而不能根据异常的类型,显示不同的信息。
为此,MyCasFilter重写了onLoginFailure() ,将异常信息放在request scope中,最后返回return true表示过滤链会继续执行。即在applicationContext-shiro.xml配置的cas.casService(http://localhost:8080/portal/cas)会继续执行。那么,我们要在业务代码中加入对/cas的映射,从request scope取出异常名,然后根据不同的异常名,做不同的逻辑处理。
二、单点登出(SSO,Single Sign Out)
由于所有业务集成接入统一门户后,即只有一个登入入口,那么也需要只有一个登出出口。故在统一门户或各业务系统(如果有需要)中需要提供单点登出功能。
JA-SIG Cas Client已提供了单点登出功能,实现方式只是在web.xml这配置1个过滤器和1个监听器就可以了。
<!-- CAS Single Sign Out --> <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener </listener-class> </listener> <filter> <filter-name>singleSignOutFilter</filter-name> <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> </filter> <filter-mapping> <filter-name>singleSignOutFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
请使SingleSignOutFilter先与其它过滤器执行。
三、业务系统的进一步改造
业务系统的进一步改造主要有以下三点:
1. 提供可靠的安全机制,不可让用户认证绕过统一门户
在统一门户中,用户登入后,会根据用户的权限列出能够访问的系统。通常,用户不会具有所有系统的访问权限。
由于各个业务系统都会接入认证中心,那么就可能会出现绕过统一门户的权限限制,直接登入业务系统的情况。一个可能的情境是:业务系统接入认证中心(ac)后,用户先在ac完成认证,然后直接输入业务系统URL,根据CAS SSO的机制,此时依然可直接登录。
因此,业务系统必须加入判断,判断用户登入时必须是从统一门户登录过来的才可以,否则不予登入。
2. 屏蔽登录入口,用户和机构维护功能
统一门户系统启用后,所有接入门户的业务系统登录入口都要统一到门户系统。因此,各业务系统无需也不能再提供系统登录入口。
另外,由于用户和机构数据也集中在门户统一维护,业务系统还需屏蔽掉用户和机构维护功能。或者保留维护功能,但由统一门户发送过来的字段不可修改。
3. 提供WebServices接口,用以与统一门户同步用户和机构数据
统一门户系统启用后,所有的用户和机构数据都在统一门户系统中进行维护。所有业务系统中的用户和机构数据需要与统一门户系统保持统一。
为此各业务系统必须提供WebServices接口供统一门户系统调用,用以当统一门户系统中对用户和机构数据进行维护后,能够调用各业务系统的WebServices接口完成数据同步。
各业务系统提供的WebServices接口在接收到统一门户发送过来的用户或机构后,需根据自己系统中的用户表和机构表结构,组织好数据,进行保存。同步接口定义如下:
1). 同步用户:
public String syncUser(String jsonUser, String operation)
jsonUser为门户的用户对象的json形式,各字段为:
private Integer id;
private String loginName;// 登录账号(员工工号)
private String password; // 密码
private String name; // 用户姓名
private String mobile; // 手机号
private String address; // 地址
private String email; // 邮箱
private String state; // 用户状态:1-使用,2-禁用
private String idCard; // 身份证
private String phone; // 固定电话
private Integer createPerson; // 创建人
private Date createDate; // 创建日期
private Date expireDate; // 失效时间
private String allowIps; // 允许ips
private Integer lastModifiedUser; // 最后修改人
private Date lastModifiedDate; // 最后修改日期
private Date lastLoginDate; // 最后登录日期
private String lastLoginIp; // 最后登录IP
private Integer tenantId; // 租户ID
private String userLevel; // 用户级别
private Integer orgId; // 机构ID
operation: save-保存或新增,delete-删除
返回值为json串,结构如下
private Boolean success; // 是否成功:成功-true,失败-false
private String msg; // 消息:"xx系统用户同步成功","小贷系统用户同步失败"
private Object data; // 数据
例如:{success: true,msg: "xx系统用户同步成功!", data: null}
2.同步机构
public String syncOrg(String jsonOrg, String operation)
jsonOrg为统一门户机构对象的json形式:
private Long id; // 机构ID
private Long parentId; // 上级机构
private String name; // 名称
private String manager; // 负责人
private String memo; // 备注
private String code; // 代码
private String type; // 机构类型:1-总公司,2-子公司,3-分公司,4-部门
private String state; // 状态:1-使用,2-禁用
private Long tenantId; // 租户ID
private Long createPerson; // 创建人
private Date createDate; // 创建时间
private Long lastModifiedUser; // 最近修改人
private Date lastModifiedDate; // 最近修改时间
private String bank; // 开户行名称
private String accountNumber; // 开户行账号
private Date foundingDate; // 成立时间
private Double registeredCapital; // 注册资本
private String phone; // 联系电话
private String formerName; // 曾用名
private String address; // 地址
private String zipcode; // 邮编
private String businessLicense;//营业执照号
operation: save-保存或新增,delete-删除
返回值为json串,结构如下
private Boolean success; // 是否成功:成功-true,失败-false
private String msg; // 消息:"xx系统机构同步成功!" "小贷系统机构同步失败!"
private Object data; // 数据
例如:{success: true, msg: "xx系统机构同步成功!", data: null}
参考资料
[1] https://wiki.jasig.org/display/CASC/CAS+Client+for+Java+3.1
[2] https://wiki.jasig.org/display/CASC/Configuring+the+Jasig+CAS+Client+for+Java+in+the+web.xml
[3] http://shiro.apache.org/cas.html
[4] http://jinnianshilongnian.iteye.com/blog/2036730
[5] https://wiki.jasig.org/display/CASC/Configuring+Single+Sign+Out
[6] http://jasig.github.io/cas/4.0.0/index.html