CAS客户端使用SpringSecurity访问CAS发布的属性

发表于 更新于 分类于 置顶 精品
阅读次数: 本文字数: 1.4k 阅读时长 ≈ 5 分钟

摘要

  • CAS服务端基于cas-overlay-template-5.3.14,已实现基于jdbc的自定义登录策略、验证码、动态service配置、多属性返回,等等
  • CAS客户端基于spring-boot-2.3.3.RELEASE,spring-security-cas-5.3.4.RELEASE
  • 本文代码地址:https://github.com/hanqunfeng/springbootchapter/tree/master/chapter36
  • 其重点是client的UserDetailsService的实现类要继承自AbstractCasAssertionUserDetailsService

cas服务配置

  • 如果是json配置方式:services目录下需要为每个客户端配置一个json文件,如client1-10000005.json

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
{
  "@class" : "org.apereo.cas.services.RegexRegisteredService",
  "serviceId" : "^(https|http|imaps)://localhost:8081.*", #对应客户端的地址匹配路径
  "name" : "client1",  #与文件名称对应
  "id" : 10000005,     #与文件名称对应
  "description" : "This service definition authorizes all application urls that support HTTPS and IMAPS protocols.",
  "evaluationOrder" : 10, #顺序id不能重复
  "logoutType" : "BACK_CHANNEL", #固定写法
  "logoutUrl" : "http://localhost:8081/",  #客户端地址,用于单点登出时通知客户端使用
  "attributeReleasePolicy": { # 属性返回策略
    "@class": "org.apereo.cas.services.ReturnAllAttributeReleasePolicy"
  },
  "accessStrategy" : { #是否允许该客户端访问单点登录,肯定是要开启的啊
    "@class" : "org.apereo.cas.services.DefaultRegisteredServiceAccessStrategy",
    "enabled" : true,
    "ssoEnabled" : true
  }
}

cas多属性返回

  • services的json文件中要增加如下配置

1
2
3
4
5
6
7
8
9
10
# 返回全部配置属性
"attributeReleasePolicy": {
    "@class": "org.apereo.cas.services.ReturnAllAttributeReleasePolicy"
  }

# 返回指定配置属性,这里指定只返回username和email两个属性
  "attributeReleasePolicy" : {
  	"@class" : "org.apereo.cas.services.ReturnAllowedAttributeReleasePolicy",
 	"allowedAttributes" : [ "java.util.ArrayList", [ "username", "email" ] ]
  }

动态service

1
2
如果使用代码的方式维护service,则也要根据情况来创建返回策略,
参考代码chapter36/cas-overlay-template-5.3.14/src/main/java/com/cas/controller/ServiceController.java

  • 配置属性

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
# 动态services配置
################################################
# 开启识别Json文件,默认false
# 这一段表示从json文件里面初始化服务,如果我们配置了这个,就会将这写json里面的数据,都会自动导入到数据库中
cas.serviceRegistry.initFromJson=true
cas.serviceRegistry.watcherEnabled=true
#设置配置的服务,一直都有,不会给清除掉 , 第一次使用,需要配置为 create-drop
#create-drop 重启cas服务的时候,就会给干掉
#create  没有表就创建,有就不创建
#none 什么也不做
#update 更新
#Unrecognized legacy `hibernate.hbm2ddl.auto` value : create-drops
cas.serviceRegistry.jpa.ddlAuto=update
#配置将service配置到数据库中
cas.serviceRegistry.jpa.isolateInternalQueries=false
cas.serviceRegistry.jpa.url=${jdbc.url}
cas.serviceRegistry.jpa.user=${jdbc.username}
cas.serviceRegistry.jpa.password=${jdbc.password}
#这个必须是org.hibernate.dialect.MySQL5Dialect ,我就是这个问题导致表创建失败
cas.serviceRegistry.jpa.dialect=org.hibernate.dialect.MySQL5Dialect
cas.serviceRegistry.jpa.driverClass=${jdbc.driver}
cas.serviceRegistry.jpa.leakThreshold=10
cas.serviceRegistry.jpa.batchSize=1
cas.serviceRegistry.jpa.autocommit=true
cas.serviceRegistry.jpa.idleTimeout=5000
#配置结束
################################################

  • 这里说一下delete异常的问题,可以引入jdbcTemplate直接操作数据表,参考chapter36/cas-overlay-template-5.3.14/src/main/java/com/cas/config/DataSourceConfig.java

1
2
3
4
5
6
7
8
List<Map<String, Object>> list = jdbcTemplate.queryForList("select * from regexregisteredservice where serviceId = '" + serviceId + "'");
if (list != null && list.size() > 0) {
    has_data = true;
    jdbcTemplate.update("delete from regexregisteredservice where serviceId = '" + serviceId + "'");
}

 //执行load生效
 servicesManager.load();

基于配置文件返回属性

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
#####################################################
## 属性返回
cas.authn.attributeRepository.jdbc[0].sql=select username,password,email from cas_user where username=?

# 格式cas.authn.attributeRepository.jdbc[0].attributes.key=value
# 返回上面查询结果的username,属性key名称也为username ,以下雷同
cas.authn.attributeRepository.jdbc[0].attributes.username=username
cas.authn.attributeRepository.jdbc[0].attributes.password=password
cas.authn.attributeRepository.jdbc[0].attributes.email=email

cas.authn.attributeRepository.jdbc[0].singleRow=true
cas.authn.attributeRepository.jdbc[0].order=0
cas.authn.attributeRepository.jdbc[0].requireAllAttributes=true
# cas.authn.attributeRepository.jdbc[0].caseCanonicalization=NONE|LOWER|UPPER
# cas.authn.attributeRepository.jdbc[0].queryType=OR|AND

cas.authn.attributeRepository.jdbc[0].username=username
#数据库连接
cas.authn.attributeRepository.jdbc[0].url=${jdbc.url}
#数据库dialect配置
cas.authn.attributeRepository.jdbc[0].dialect=${jdbc.dialect}
#数据库用户名
cas.authn.attributeRepository.jdbc[0].user=${jdbc.username}
#数据库用户密码
cas.authn.attributeRepository.jdbc[0].password=${jdbc.password}
#数据库事务自动提交
cas.authn.attributeRepository.jdbc[0].autocommit=true
#数据库驱动
cas.authn.attributeRepository.jdbc[0].driverClass=${jdbc.driver}
#超时配置
cas.authn.attributeRepository.jdbc[0].idleTimeout=5000
cas.authn.attributeRepository.jdbc[0].ddlAuto=none
cas.authn.attributeRepository.jdbc[0].leakThreshold=10
cas.authn.attributeRepository.jdbc[0].batchSize=1
cas.authn.attributeRepository.jdbc[0].dataSourceProxy=false

#####################################################

代码实现返回属性内容

  • 这个需要结合自定义登录策略来实现,代码参考:chapter36/cas-overlay-template-5.3.14/src/main/java/com/cas/security/CustomerHandlerAuthentication.java,注意要关闭配置文件的登录策略,否则会失效

  • 注册自定义登录策略,代码参考:chapter36/cas-overlay-template-5.3.14/src/main/java/com/cas/config/CustomAuthenticationConfig.java

  • 然后将其加入自动配置中,chapter36/cas-overlay-template-5.3.14/src/main/resources/META-INF/spring.factories

1
2
3
4
5
6
7
org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
  org.apereo.cas.config.CasEmbeddedContainerTomcatConfiguration,\
  org.apereo.cas.config.CasEmbeddedContainerTomcatFiltersConfiguration,\
  com.cas.config.MyConfiguration,\ #自定义的其它需要加入spring上下文的bean
  com.cas.config.DataSourceConfig,\ #数据源配置,为了引入JdbcTemplate
  com.cas.config.CustomAuthenticationConfig,\  #自定义登录策略配置
  com.cas.config.CustomerAuthWebflowConfiguration #自定义登录流程配置

cas-client-springsecurity

  • 这里说一下,如果不使用springsecurity,而是直接依赖cas-client,其获取cas返回属性的方式

1
2
3
4
5
6
7
8
9
10
Principal principal = request.getUserPrincipal();
if(principal instanceof AttributePrincipal){
    //cas传递过来的数据
    Map<String,Object> result =( (AttributePrincipal)principal).getAttributes();
    for(Map.Entry<String, Object> entry :result.entrySet()) {
        String key = entry.getKey();
        Object val = entry.getValue();
        System.out.printf("%s:%s\r\n",key,val);
    }
}

  • 使用springsecurity的配置类代码参考:chapter36/springsecurity-client-demo/src/main/java/com/example/springsecuritydemo/config/WebSecurityConfigByCASByAttrs.java

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
/**
     * cas 认证 Provider
     */
    @Bean
    public CasAuthenticationProvider casAuthenticationProvider() {
        //创建CAS授权认证器
        CasAuthenticationProvider casAuthenticationProvider = new CasAuthenticationProvider();

        //设置Cas授权认证器相关配置
        casAuthenticationProvider.setServiceProperties(serviceProperties());
        //设置票据校验器
        casAuthenticationProvider.setTicketValidator(cas30ServiceTicketValidator());
        casAuthenticationProvider.setKey("casAuthenticationProviderKey");


        //setUserDetailsService和setAuthenticationUserDetailsService只能设置一个,其目的都是为了初始化属性authenticationUserDetailsService
        //setUserDetailsService的类型为UserDetailsService
        //setAuthenticationUserDetailsService的类型为AuthenticationUserDetailsService<CasAssertionAuthenticationToken>
        // 如果使用setUserDetailsService,则其会对UserDetailsService进行封装,new UserDetailsByNameServiceWrapper(userDetailsService),
        // 将其转换为AuthenticationUserDetailsService<CasAssertionAuthenticationToken>类型
        //这里使用setAuthenticationUserDetailsService是为了接收cas服务端返回的属性,因为CasAssertionAuthenticationToken会接收到返回的属性
        casAuthenticationProvider.setAuthenticationUserDetailsService(userDetailsServiceImplByAttrs());

        return casAuthenticationProvider;
    }

    @Bean
    public UserDetailsServiceImplByAttrs userDetailsServiceImplByAttrs(){
        UserDetailsServiceImplByAttrs userDetailsServiceImplByAttrs = new UserDetailsServiceImplByAttrs();
        return userDetailsServiceImplByAttrs;
    }

  • UserDetailsServiceImplByAttrs的重点就是要继承AbstractCasAssertionUserDetailsService,而不是实现UserDetailsService

1
2
//实际可以接收的属性
Map<String, Object> objectMap = assertion.getPrincipal().getAttributes();

  • 这里说一下AbstractCasAssertionUserDetailsService,它有一个实现类GrantedAuthorityFromAssertionAttributesUserDetailsService
    不过其将返回数据都做为用户的权限了,所以其只是用来从服务器端获取用户权限使用

1
2
3
4
CasAuthenticationToken principal = (CasAuthenticationToken) request.getUserPrincipal();
UserDetails userDetails = principal.getUserDetails();
Collection<SimpleGrantedAuthority> authorities = (Collection<SimpleGrantedAuthority>) userDetails.getAuthorities();
authorities.stream().forEach(System.out::println);

  • 如果希望灵活使用cas返回属性,则需要自定义实现类,笔者这里将获取到的属性map存储到自定义的CustomerUser属性中了

  • 代码中使用属性

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
#获取登录的用户名称
String username = request.getRemoteUser();
#获取cas返回属性
CasAuthenticationToken principal = (CasAuthenticationToken) request.getUserPrincipal();
UserDetails userDetails = principal.getUserDetails();
if(userDetails instanceof CustomerUser){
    Map<String, Object> map = ((CustomerUser) userDetails).getMap();
    for (String key : map.keySet()) {
        Object value = map.get(key);
        if (value != null) {
            if (value instanceof List) {
                List list = (List) value;
                Iterator iterator = list.iterator();
                int i = 0;
                while (iterator.hasNext()) {
                    Object object = iterator.next();
                    System.out.println("key:" + key + ",values[" + i + "]:" + object.toString());
                    i++;
                }
            } else {
                System.out.println("key:" + key + ",value:" + value.toString());
            }
        }
    }
}