1. 動機
用過 CAS 的人都知道 CAS-Server端是單獨部署的,作為一個純粹的認證中心。在用戶每次登錄時,都需要進入CAS-Server的登錄頁填寫用戶名和密碼登錄,但是如果存在多個子應用系統時,它們可能都有相應風格的登錄頁面,我們希望直接在子系統中登錄成功,而不是每次都要跳轉到CAS的登錄頁去登錄。
2. 開始分析問題
其實仔細想一想,為什么不能直接在子系統中將參數提交至 cas/login 進行登錄呢? 於是便找到了CAS在登錄認證時主要參數說明:
service [OPTIONAL] 登錄成功后重定向的URL地址;
username [REQUIRED] 登錄用戶名;
password [REQUIRED] 登錄密碼;
lt [REQUIRED] 登錄令牌;
主要有四個參數,其中的三個參數倒好說,最關鍵的就是 lt , 據官方說明該參數是login ticket id, 主要是在登錄前產生的一個唯一的“登錄門票”,然后提交登錄后會先取得"門票",確定其有效性后才進行用戶名和密碼的校驗,否則直接重定向至 cas/login 頁。
於是,便打開CAS-Server的登錄頁,發現其每次刷新都會產生一個 lt, 其實就是 Spring WebFlow 中的 flowExecutionKey值。 那么問題的關鍵就在於在子系統中如何獲取 lt 也就是登錄的ticket?
3. 可能的解決方案
一般對於獲取登錄ticket的解決方案可能大多數人都會提到兩種方法:
- AJAX: 熟悉 Ajax 的可能都知道,它的請求方式是嚴格按照沙箱安全模型機制的,嚴格情況下會存在跨域安全問題。
- IFrames: 這也是早期的 ajax 實現方式,在頁面中嵌入一個隱藏的IFrame,然后通過表單提交到該iframe來實現不刷新提交,不過使用這種方式同樣會帶來兩個問題: a. 登錄成功之后如何擺脫登錄后的IFrame呢?如果成功登錄可能會導致整個頁面重定向,當然你能在form中使
-
用屬性target="_parent",使之彈出,那么你如何在父頁面顯示錯誤信息呢?
-
b. 你可能會受到布局的限止(不允許或不支持iframe)
對於以上兩種方案,並非說不能實現,只是說對於一個靈活的登錄系統來說仍然還是會存在一定的局限性的,我們堅信能有更好的方案來解決這個問題。
4. 通過JS重定向來獲取login ticket (lt)
當第一次進入子系統的登錄頁時,通過 JS 進行redirect到cas/login?get-lt=true獲取login ticket,然后在該login中的 flow 中檢查是否包含get-lt=true的參數,如果是的話則跳轉到lt生成頁,生成后,並將lt作為該redirect url 中的參數連接,如 remote-login.html?lt=e1s1,然后子系統再通過JS解析當前URL並從參數中取得該lt的值放置登錄表單中,即完成 lt 的獲取工作。其中進行了兩次 redirect 的操作。
5. 開始實踐
首先,在我們的子系統中應該有一個登錄頁面,通過輸入用戶名和密碼提交至cas認證中心。不過前提是先要獲取到 login tickt id. 也就是說當用戶第一次進入子系統的登錄頁面時,在該頁面中會通過js跳轉到 cas/login 中的獲取login ticket. 在 cas/login 的 flow 中先會判斷請求的參數中是否包含了 get-lt 的參數。
在cas的 login flow 中加入 ProvideLoginTicketAction 的流,主要用於判斷該請求是否是來獲取 lt,在cas-server端聲明獲取 login ticket action 類:
com.denger.sso.web.ProvideLoginTicketAction
- /**
- * Opens up the CAS web flow to allow external retrieval of a login ticket.
- *
- * @author denger
- */
- public class ProvideLoginTicketAction extends AbstractAction{
- @Override
- protected Event doExecute(RequestContext context) throws Exception {
- final HttpServletRequest request = WebUtils.getHttpServletRequest(context);
- if (request.getParameter("get-lt") != null && request.getParameter("get-lt").equalsIgnoreCase("true")) {
- return result("loginTicketRequested");
- }
- return result("continue");
- }
- }
- // 如果參數中包含 get-lt 參數,則返回 loginTicketRequested 執行流,並跳轉至 loginTicket 生成頁,否則 則跳過該flow,並按照原始login的流程來執行。
並且將該 action 聲明在 cas-servlet.xml 中:
- <bean id="provideLoginTicketAction" class="com.denger.sso.web.ProvideLoginTicketAction" />
還需要定義 loginTicket 的生成頁也就是當返回 loginTicketRequested 的 view:
viewRedirectToRequestor.jsp
- <%@ page contentType="text/html; charset=UTF-8"%>
- <%@ page import="com.denger.sso.util.CasUtility"%>
- <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
- <%@ taglib prefix="spring" uri="http://www.springframework.org/tags"%>
- <%
- String separator = "";
- // 需要輸入 login-at 參數,當生成lt后或登錄失敗后則重新跳轉至 原登錄頁,並傳入參數 lt 和 error_message
- String referer = request.getParameter("login-at");
- referer = CasUtility.resetUrl(referer);
- if (referer != null && referer.length() > 0) {
- separator = (referer.indexOf("?") > -1) ? "&" : "?";
- %>
- <html>
- <title>cas get login ticket</title>
- <head>
- <META http-equiv="Content-Type" content="text/html; charset=UTF-8">
- <script>
- var redirectURL = "<%=referer + separator%>lt=${flowExecutionKey}";
- <spring:hasBindErrors name="credentials">
- var errorMsg = '<c:forEach var="error" items="${errors.allErrors}"><spring:message code="${error.code}" text="${error.defaultMessage}" /></c:forEach>';
- redirectURL += '&error_message=' + encodeURIComponent (errorMsg);
- </spring:hasBindErrors>
- window.location.href = redirectURL;
- </script>
- </head>
- <body></body>
- </html>
- <%
- } else {
- %>
- <script>window.location.href = "/member/login";</script>
- <%
- }
- %>
並且需要將該 jsp 聲明在 default._views.properites 中:
- ### Redirect with login ticket view
- casRedirectToRequestorView.(class)=org.springframework.web.servlet.view.JstlView
- casRedirectToRequestorView.url=/WEB-INF/view/jsp/default/ui/viewRedirectToRequestor.jsp
相關 com.denger.sso.util.CasUtility 代碼:
- public class CasUtility {
- /**
- * Removes the previously attached GET parameters "lt" and "error_message"
- * to be able to send new ones.
- *
- * @param casUrl
- * @return
- */
- public static String resetUrl(String casUrl) {
- String cleanedUrl;
- String[] paramsToBeRemoved = new String[] { "lt", "error_message", "get-lt" };
- cleanedUrl = removeHttpGetParameters(casUrl, paramsToBeRemoved);
- return cleanedUrl;
- }
- /**
- * Removes selected HTTP GET parameters from a given URL
- *
- * @param casUrl
- * @param paramsToBeRemoved
- * @return
- */
- public static String removeHttpGetParameters(String casUrl,
- String[] paramsToBeRemoved) {
- String cleanedUrl = casUrl;
- if (casUrl != null) {
- // check if there is any query string at all
- if (casUrl.indexOf("?") == -1) {
- return casUrl;
- } else {
- // determine the start and end position of the parameters to be
- // removed
- int startPosition, endPosition;
- boolean containsOneOfTheUnwantedParams = false;
- for (String paramToBeErased : paramsToBeRemoved) {
- startPosition = -1;
- endPosition = -1;
- if (cleanedUrl.indexOf("?" + paramToBeErased + "=") > -1) {
- startPosition = cleanedUrl.indexOf("?"
- + paramToBeErased + "=") + 1;
- } else if (cleanedUrl.indexOf("&" + paramToBeErased + "=") > -1) {
- startPosition = cleanedUrl.indexOf("&"
- + paramToBeErased + "=") + 1;
- }
- if (startPosition > -1) {
- int temp = cleanedUrl.indexOf("&", startPosition);
- endPosition = (temp > -1) ? temp + 1 : cleanedUrl
- .length();
- // remove that parameter, leaving the rest untouched
- cleanedUrl = cleanedUrl.substring(0, startPosition)
- + cleanedUrl.substring(endPosition);
- containsOneOfTheUnwantedParams = true;
- }
- }
- // wenn nur noch das Fragezeichen vom query string übrig oder am
- // schluss ein "&", dann auch dieses entfernen
- if (cleanedUrl.endsWith("?") || cleanedUrl.endsWith("&")) {
- cleanedUrl = cleanedUrl.substring(0,
- cleanedUrl.length() - 1);
- }
- // parameter mehrfach angegeben wurde...
- if (!containsOneOfTheUnwantedParams)
- return casUrl;
- else
- cleanedUrl = removeHttpGetParameters(cleanedUrl,
- paramsToBeRemoved);
- }
- }
- return cleanedUrl;
- }
還有一處需要調整的地方就是當用戶名和密碼驗證失敗后,應該重新返回至子系統登錄頁,也就是 login-at 參數值,此時同樣需要重新生成 login ticket。 於是找到 cas 登錄驗證處理 action :org.jasig.cas.web.flow.AuthenticationViaFormAction 修改 submit方法 中代碼下如:
- try {
- WebUtils.putTicketGrantingTicketInRequestScope(context, this.centralAuthenticationService.createTicketGrantingTicket(credentials));
- putWarnCookieIfRequestParameterPresent(context);
- return "success";
- } catch (final TicketException e) {
- populateErrorsInstance(e, messageContext);
- // 當驗證失敗后,判斷參數中是否獲否 login-at 參數,如果包含的話則跳轉至 login ticket 獲取頁
- String referer = context.getRequestParameters().get("login-at");
- if (!org.apache.commons.lang.StringUtils.isBlank(referer)) {
- return "errorForRemoteRequestor";
- }
- return "error";
- }
接下來要做的就是將該action 的處理加入到 login-webflow.xml 請求流中:
- <on-start>
- <evaluate expression="initialFlowSetupAction" />
- </on-start>
- <!-- 添加如下配置 :-->
- <action-state id="provideLoginTicket">
- <evaluate expression="provideLoginTicketAction"/>
- <transition on="loginTicketRequested" to ="viewRedirectToRequestor" />
- <transition on="continue" to="ticketGrantingTicketExistsCheck" />
- </action-state>
- <view-state id="viewRedirectToRequestor" view="casRedirectToRequestorView" model="credentials">
- <var name="credentials" class="org.jasig.cas.authentication.principal.UsernamePasswordCredentials" />
- <binder>
- <binding property="username" />
- <binding property="password" />
- </binder>
- <on-entry>
- <set name="viewScope.commandName" value="'credentials'" />
- </on-entry>
- <transition on="submit" bind="true" validate="true" to="realSubmit">
- <set name="flowScope.credentials" value="credentials" />
- <evaluate expression="authenticationViaFormAction.doBind(flowRequestContext, flowScope.credentials)" />
- </transition>
- </view-state>
- <!---添加結束處 --->
- <decision-state id="ticketGrantingTicketExistsCheck">
- <if test="flowScope.ticketGrantingTicketId neq null" then="hasServiceCheck" else="gatewayRequestCheck" />
- </decision-state>
- <!-- ..... 省略中間代碼 ...-->
- <action-state id="realSubmit">
- <evaluate expression="authenticationViaFormAction.submit(flowRequestContext, flowScope.credentials, messageContext)" />
- <transition on="warn" to="warn" />
- <transition on="success" to="sendTicketGrantingTicket" />
- <transition on="error" to="viewLoginForm" />
- <!--加入該transition , 當驗證失敗之后重新獲取login ticket -->
- <transition on="errorForRemoteRequestor" to="viewRedirectToRequestor" />
- </action-state>
好了,至此,對server端的調整基本上已經大功告成了,現在開始寫一個測試遠程登錄的 html:
- <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
- <html>
- <head>
- <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
- <title>Test remote Login using JS</title>
- <script type="text/javascript">
- function prepareLoginForm() {
- $('myLoginForm').action = casLoginURL;
- $("lt").value = loginTicket;
- }
- function checkForLoginTicket() {
- var loginTicketProvided = false;
- var query = '';
- casLoginURL = 'http://192.168.6.1:8080/member/login';
- thisPageURL = 'http://192.168.6.1:8080/member/test-login.html';
- casLoginURL += '?login-at=' + encodeURIComponent (thisPageURL);
- query = window.location.search;
- queryquery = query.substr (1);
- var param = new Array();
- //var value = new Array();
- var temp = new Array();
- param = query.split ('&');
- i = 0;
- // 開始獲取當前 url 的參數,獲到 lt 和 error_message。
- while (param[i]) {
- temp = param[i].split ('=');
- if (temp[0] == 'lt') {
- loginTicket = temp[1];
- loginTicketProvided = true;
- }
- if (temp[0] == 'error_message') {
- error = temp[1];
- }
- i++;
- }
- // 判斷是否已經獲取到 lt 參數,如果未獲取到則跳轉至 cas/login 頁,並且帶上請求參數 get-lt=true。 第一次進該頁面時會進行一次跳轉
- if (!loginTicketProvided) {
- location.href = casLoginURL + '&get-lt=true';
- }
- }
- var $ = function(id){
- return document.getElementById(id);
- }
- checkForLoginTicket();
- onload = prepareLoginForm;
- </script>
- </head>
- <body>
- <h2>Test remote Login using JS</h2>
- <form id="myLoginForm" action="" method="post">
- <input type="hidden" name="_eventId" value="submit" />
- <table>
- <tr>
- <td id="txt_error" colspan="2">
- <script type="text/javascript" language="javascript">
- <!--
- if ( error ) {
- error = decodeURIComponent (error);
- document.write (error);
- }
- //-->
- </script>
- </td>
- </tr>
- <tr>
- <td>Username:</td>
- <td><input type="text" value="" name="username" ></td>
- </tr>
- <tr>
- <td>Password:</td>
- <td><input type="text" value="" name="password" ></td>
- </tr>
- <tr>
- <td>Login Ticket:</td>
- <td><input type="text" name="lt" id="lt" value=""></td>
- </tr>
- <tr>
- <td>Service:</td>
- <td><input type="text" name="service" value="http://www.google.com.hk"></td>
- </tr>
- <tr>
- <td align="right" colspan="2"><input type="submit" /></td>
- </tr>
- </table>
- </form>
- </body>
- </html>
開始測試,直接訪問:http://192.168.6.1:8080/member/test-login.html 發現進行了二次重定向,進入該頁面 js 未發現 lt 參數,於是重定向到 http://192.168.6.1:8080/member/login?login-at=http://192.168.6.1:8080/member/test-login.html &get-lt=true ,然后又從該頁重定向到 http://192.168.6.1:8080/member/test-login.html?lt=e1s1 ,可以發現,其中的 lt 就是我們所需要的 login ticket參數。
6. 不足之處
1. 可以發現,每次用戶訪問 登錄頁面時都要進行兩次重定向的操作,雖然很快,但是在有些情況仍然能看到登錄頁面閃了一下。 當然這也是有辦法可以解決的!
2. 可以發現,當登錄失敗之后,會將錯誤信息以參數的方式進行傳遞,看上去這並非專業做法。可以定義一些錯誤標識,比如 1 是用戶名或密碼錯誤之類的。
PS:參考:https://wiki.jasig.org/display/CAS/Using+CAS+without+the+Login+Screen 如有不足之處,歡迎指正
spring boot 集成cas
http://blog.csdn.net/jw314947712/article/details/54236216
http://blog.163.com/software_warrior/blog/static/169719837201701693329537/
http://blog.csdn.net/cl_andywin/article/details/53998986
http://blog.csdn.net/jw314947712/article/details/54236216
http://www.cnblogs.com/question-sky/p/7061522.html
http://blog.csdn.net/ONROAD0612/article/details/72846247
http://blog.csdn.net/liuchuanhong1/article/details/73176603
http://tonyaction.blog.51cto.com/227462/898173
http://www.cnblogs.com/question-sky/p/7061522.html