cas 3.5.3服务器搭建+spring boot集成+shiro模拟登录(不修改现有shiro认证架构)。因为我们属于供应商,所以有些客户那里会需要接对方的CAS,所以没有使用shiro和cas的直接集成模式,如果是这种情况,可以参考:https://blog.csdn.net/catoop/article/details/50534006。
Cas Client主要有四个核心过滤器:
l AuthenticationFilter
l TicketValidationFilter
l HttpServletRequestWrapperFilter
l AssertionThreadLocalFilter
他们的作用解释如下:
AuthenticationFilter
AuthenticationFilter用来拦截所有的请求,用以判断用户是否需要通过Cas Server进行认证,如果需要则将跳转到Cas Server的登录页面。如果不需要进行登录认证,则请求会继续往下执行。
AuthenticationFilter有两个用户必须指定的参数,一个是用来指定Cas Server登录地址的casServerLoginUrl,另一个是用来指定认证成功后需要跳转地址的serverName或service。service和serverName只需要指定一个就可以了。当两者都指定了,参数service将具有更高的优先级,即将以service指定的参数值为准。service和serverName的区别在于service指定的是一个确定的URL,认证成功后就会确切的跳转到service指定的URL;而serverName则是用来指定主机名,其格式为{protocol}:{hostName}:{port},如:https://localhost:8443,当指定的是serverName时,AuthenticationFilter将会把它附加上当前请求的URI,以及对应的查询参数来构造一个确定的URL,如指定serverName为“http://localhost”,而当前请求的URI为“/app”,查询参数为“a=b&b=c”,则对应认证成功后的跳转地址将为“http://localhost/app?a=b&b=c”。
除了上述必须指定的参数外,AuthenticationFilter还可以指定如下可选参数:
l renew:当指定renew为true时,在请Cas Server时将带上参数“renew=true”,默认为false。
l gateway:指定gateway为true时,在请求Cas Server时将带上参数“gateway=true”,默认为false。
l artifactParameterName:指定ticket对应的请求参数名称,默认为ticket。
l serviceParameterName:指定service对应的请求参数名称,默认为service。
TicketValidationFilter
在请求通过AuthenticationFilter的认证之后,如果请求中携带了参数ticket则将会由TicketValidationFilter来对携带的ticket进行校验。TicketValidationFilter只是对验证ticket的这一类Filter的统称,其并不对应Cas Client中的一个具体类型。Cas Client中有多种验证ticket的Filter,都继承自AbstractTicketValidationFilter,它们的验证逻辑都是一致的,都有AbstractTicketValidationFilter实现,所不同的是使用的TicketValidator不一样。默认是Cas10TicketValidationFilter。
可选参数包括:
l redirectAfterValidation :表示是否验证通过后重新跳转到该URL,但是不带参数ticket,默认为true。
l useSession :在验证ticket成功后会生成一个Assertion对象,如果useSession为true,则会将该对象存放到Session中。如果为false,则要求每次请求都需要携带ticket进行验证,显然useSession为false跟redirectAfterValidation为true是冲突的。默认为true。
l exceptionOnValidationFailure :表示ticket验证失败后是否需要抛出异常,默认为true。
l renew:当值为true时将发送“renew=true”到Cas Server,默认为false。
HttpServletRequestWrapperFilter
HttpServletRequestWrapperFilter用于将每一个请求对应的HttpServletRequest封装为其内部定义的CasHttpServletRequestWrapper,该封装类将利用之前保存在Session或request中的Assertion对象重写HttpServletRequest的getUserPrincipal()、getRemoteUser()和isUserInRole()方法。这样在我们的应用中就可以非常方便的从HttpServletRequest中获取到用户的相关信息。
AssertionThreadLocalFilter
AssertionThreadLocalFilter是为了方便用户在应用的其它地方获取Assertion对象,其会将当前的Assertion对象存放到当前的线程变量中,那么以后用户在程序的任何地方都可以从线程变量中获取当前Assertion,无需再从Session或request中进行解析。该线程变量是由AssertionHolder持有的,我们在获取当前的Assertion时也只需要通过AssertionHolder的getAssertion()方法获取即可,如:
Assertion assertion = AssertionHolder.getAssertion();
cas client/shiro过滤器顺序,集成cas的情况下,cas客户端总是第一个过滤器。
org.jasig.cas.client.validation.AbstractTicketValidationFilter#doFilter
org.jasig.cas.client.util.CommonUtils#safeGetParameter
org.jasig.cas.client.authentication.AuthenticationFilter#doFilter --在这里修改源码,拿到assertion、且为空后需要判断token是否存在且有效,如果存在且有效,说明已经登录过,则直接返回
org.jasig.cas.client.util.CommonUtils#constructRedirectUrl
javax.servlet.http.HttpServletResponse#sendRedirect --此时请求去了CAS
最后进入shiro过滤器UserFilter.isAccessAllowed
因为在userfilter里面标准的cas登录后,是可以通过UserPrincipal拿到当前的用户信息的,但是当我们是集群模式的时候因为直接在AuthenticationFilter#doFilter中拦截返回了,且没有明确设置,自然就拿不到了,servletrequest中没有提供设置UserPrincipal的入口,cas的org.jasig.cas.client.validation.Cas20ServiceTicketValidator#parseResponseFromServer是创建了,但是org.jasig.cas.client.validation.Cas20ServiceTicketValidator#customParseResponse的实现体是空的。如下:
protected final Assertion parseResponseFromServer(final String response) throws TicketValidationException { final String error = XmlUtils.getTextForElement(response, "authenticationFailure"); if (CommonUtils.isNotBlank(error)) { throw new TicketValidationException(error); } final String principal = XmlUtils.getTextForElement(response, "user"); final String proxyGrantingTicketIou = XmlUtils.getTextForElement(response, "proxyGrantingTicket"); final String proxyGrantingTicket = this.proxyGrantingTicketStorage != null ? this.proxyGrantingTicketStorage.retrieve(proxyGrantingTicketIou) : null; if (CommonUtils.isEmpty(principal)) { throw new TicketValidationException("No principal was found in the response from the CAS server."); } final Assertion assertion; final Map<String,Object> attributes = extractCustomAttributes(response); if (CommonUtils.isNotBlank(proxyGrantingTicket)) { final AttributePrincipal attributePrincipal = new AttributePrincipalImpl(principal, attributes, proxyGrantingTicket, this.proxyRetriever); assertion = new AssertionImpl(attributePrincipal); } else { assertion = new AssertionImpl(new AttributePrincipalImpl(principal, attributes)); } customParseResponse(response, assertion); return assertion; }
stackoverflow也没搜到。如下:
https://stackoverflow.com/questions/25885747/when-and-where-java-security-set-userprincipal
https://docs.oracle.com/javase/7/docs/jre/api/security/jaas/spec/com/sun/security/auth/UserPrincipal.html
此时如果设置UserPrincipal需要的话,需要自己通过HttpServletRequestWrapperFilter重写一遍,如下:
public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException { final AttributePrincipal principal = retrievePrincipalFromSessionOrRequest(servletRequest); filterChain.doFilter(new CasHttpServletRequestWrapper((HttpServletRequest) servletRequest, principal), servletResponse); } protected AttributePrincipal retrievePrincipalFromSessionOrRequest(final ServletRequest servletRequest) { final HttpServletRequest request = (HttpServletRequest) servletRequest; final HttpSession session = request.getSession(false); final Assertion assertion = (Assertion) (session == null ? request.getAttribute(AbstractCasFilter.CONST_CAS_ASSERTION) : session.getAttribute(AbstractCasFilter.CONST_CAS_ASSERTION)); return assertion == null ? null : assertion.getPrincipal(); }
这样的话,shiro UserFilter里面就可以通过
AttributePrincipal principal = (AttributePrincipal)((HttpServletRequest) request).getUserPrincipal();
拿到登录用户的信息了。