【安全記錄】使用CAS實現(xiàn)SSO單點登錄

1. 前言

平時滲透過程中總會遇到很多SSO單點登錄的站群,也不太清楚其中的原理。最近看到一篇文章,講解了使用CAS實現(xiàn)SSO功能,

2. 相關(guān)知識介紹

2.1 SSO概述

單點登錄(Single Sign-On , 簡稱 SSO)是目前比較流行的服務(wù)于企業(yè)業(yè)務(wù)整合的解決方案之一, SSO 使得在多個應(yīng)用系統(tǒng)中,用戶只需要登錄一次,就可以訪問所有相互信任的應(yīng)用系統(tǒng)。

2.2 CAS介紹

CAS(Central Authentication Service)中文翻譯為++統(tǒng)一身份認證服務(wù)或中央身份服務(wù)++,它由服務(wù)端和客戶端組成,實現(xiàn)SSO,并且容易進行企業(yè)應(yīng)用的集成。

官網(wǎng)地址:https://www.apereo.org/projects/cas

服務(wù)端:CAS Server為需要獨立部署的web應(yīng)用

客戶端:CAS Client支持非常多的客戶端(這里指單點登錄系統(tǒng)中的各個web應(yīng)用),包括 Java、.Net 、ISAPI、Php、Perl、uPortal、Acegi、Ruby、VBScript等客戶端

整體架構(gòu)圖如下:

image

對客戶端受保護資源的訪問請求,需要登錄,重定向到CAS Server。

3. CAS服務(wù)端安裝部署

使用maven進行build,所以部署前先安裝maven,并配置好maven倉庫來源與本地倉庫路徑(防止下載的包默認放在c盤)

下載5.3版本CAS 服務(wù)端:https://github.com/apereo/cas-overlay-template/tree/5.3

解壓:

image

在解壓目錄下運行build.cmd命令:

build.cmd package
image

會從maven倉庫下載相關(guān)的依賴包,最后在target目錄下得到可直接部署的war包:

image

將war包放在tomcat的webapps目錄下,(我這里使用的是tomcat 8.5.9版本,一開始使用的7.0.99版本一直部署不成功)。部署需要一段時間,部署完成后,訪問http://127.0.0.1:8080/cas即可看到主頁面。

image

登錄賬號密碼配置文件位置:\webapps\cas\WEB-INF\classes\application.properties

默認賬號密碼為:

cas.authn.accept.users=casuser::Mellon

4. CAS 服務(wù)端配置

主要配置修改為去除HTTPS認證。

使用https傳輸需要相關(guān)的證書文件,在本次搭建學習過程中,我使用http協(xié)議即可。

修改CAS服務(wù)端配置文件:

\cas\WEB-INF\classes\application.properties

添加如下內(nèi)容:

cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true

\cas\WEB-INF\classes\services\HTTPSandIMAPS-10000001.json

修改為如下內(nèi)容:

"serviceId" : "^(https|http|imaps)://.*"

5. CAS 客戶端編寫配置

回到CAS架構(gòu)的圖:

image

客戶端就是一個一個應(yīng)用,這里創(chuàng)建兩個springboot測試項目作為客戶端。

5.1 客戶端1

創(chuàng)建一個springboot項目,配置的具體過程可以學習參考鏈接,添加如下依賴pom.xml

<dependency>
    <groupId>net.unicon.cas</groupId>
    <artifactId>cas-client-autoconfig-support</artifactId>
    <version>2.1.0-GA</version>
</dependency>

在resources下新建application.properties(或者已經(jīng)存在該配置文件),寫入如下內(nèi)容:

server.port=8088

#cas服務(wù)端的地址
cas.server-url-prefix=http://localhost:8080/cas

#cas服務(wù)端的登錄地址
cas.server-login-url=http://localhost:8080/cas/login

#當前客戶端的地址(客戶端)
cas.client-host-url=http://localhost:8088

#Ticket校驗器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3

接著在Java目錄下新建一個包com.client1,在該包下新建一個類Application,代碼如下:

package com.client1;

import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

// 啟動CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

再新建一個CasTest1類:

package com.client1;

import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@EnableAutoConfiguration
public class CasTest1 {

    @RequestMapping("/test1")
    public String test1(){
        return "This is test1";
    }
}

運行springboot項目:

image

5.2 客戶端2

使用同樣的方法創(chuàng)建另外一個項目:

application.properties

server.port=8099

#cas服務(wù)端的地址
cas.server-url-prefix=http://localhost:8080/cas

#cas服務(wù)端的登錄地址
cas.server-login-url=http://localhost:8080/cas/login

#當前客戶端的地址(客戶端)
cas.client-host-url=http://localhost:8099

#Ticket校驗器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3

Application.java

package com.client2;

import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

// 啟動CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

CasTest2.java

package com.client2;

import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@EnableAutoConfiguration
public class CasTest2 {

    @RequestMapping("/test2")
    public String test1(){
        return "This is test2";
    }
}

6. 效果演示

啟動兩個客戶端的springboot項目,啟動tomcat來運行cas服務(wù)端。

訪問客戶端1的服務(wù):http://localhost:8088/test1

會跳轉(zhuǎn)到http://localhost:8080/cas/login?service=http%3A%2F%2Flocalhost%3A8088%2Ftest1

image

在另外一個瀏覽器訪問客戶端2的服務(wù):http://localhost:8099/test2,同樣跳轉(zhuǎn)到CAS的登錄中心。

使用賬號密碼登錄客戶端1的服務(wù),可以成功訪問test1路由:

image

打開瀏覽器新的標簽,輸入http://localhost:8099/test2,這次就沒有跳轉(zhuǎn)到cas的登錄中心,而是可以直接訪問需要認證后的頁面了。

image

7. 總結(jié)

回顧整個應(yīng)用的過程,結(jié)合架構(gòu)圖:

image

CAS Server作為一個中轉(zhuǎn)中心,在同一個瀏覽器中,CAS會對認證做保存,管理所有客戶端(一個一個應(yīng)用),統(tǒng)一鑒權(quán)管理。

CAS Server需要獨立部署,主要負責對用戶的認證工作,CAS Client負責處理;對客戶端受保護資源的訪問請求,需要登錄時重定向到CAS Server。

8. 參考鏈接

基于CAS實現(xiàn)SSO單點登錄

CAS5.3服務(wù)器搭建及SpringBoot整合CAS實現(xiàn)單點登錄

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容