0%

CAS客户端使用SpringSecurity访问CAS发布的属性

摘要

  • CAS服务端基于cas-overlay-template-5.3.14,已实现基于jdbc的自定义登录策略、验证码、动态service配置、多属性返回,等等
  • CAS客户端基于spring-boot-2.3.3.RELEASE,spring-security-cas-5.3.4.RELEASE
  • 本文代码地址:https://github.com/hanqunfeng/springbootchapter/tree/master/chapter36
  • 其重点是client的UserDetailsService的实现类要继承自AbstractCasAssertionUserDetailsService

cas服务配置

  • 如果是json配置方式:services目录下需要为每个客户端配置一个json文件,如client1-10000005.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
{
"@class" : "org.apereo.cas.services.RegexRegisteredService",
"serviceId" : "^(https|http|imaps)://localhost:8081.*", #对应客户端的地址匹配路径
"name" : "client1", #与文件名称对应
"id" : 10000005, #与文件名称对应
"description" : "This service definition authorizes all application urls that support HTTPS and IMAPS protocols.",
"evaluationOrder" : 10, #顺序id不能重复
"logoutType" : "BACK_CHANNEL", #固定写法
"logoutUrl" : "http://localhost:8081/", #客户端地址,用于单点登出时通知客户端使用
"attributeReleasePolicy": { # 属性返回策略
"@class": "org.apereo.cas.services.ReturnAllAttributeReleasePolicy"
},
"accessStrategy" : { #是否允许该客户端访问单点登录,肯定是要开启的啊
"@class" : "org.apereo.cas.services.DefaultRegisteredServiceAccessStrategy",
"enabled" : true,
"ssoEnabled" : true
}
}

cas多属性返回

  • services的json文件中要增加如下配置
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    # 返回全部配置属性
    "attributeReleasePolicy": {
    "@class": "org.apereo.cas.services.ReturnAllAttributeReleasePolicy"
    }

    # 返回指定配置属性,这里指定只返回username和email两个属性
    "attributeReleasePolicy" : {
    "@class" : "org.apereo.cas.services.ReturnAllowedAttributeReleasePolicy",
    "allowedAttributes" : [ "java.util.ArrayList", [ "username", "email" ] ]
    }

动态service

1
2
如果使用代码的方式维护service,则也要根据情况来创建返回策略,
参考代码chapter36/cas-overlay-template-5.3.14/src/main/java/com/cas/controller/ServiceController.java
  • 配置属性

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    # 动态services配置
    ################################################
    # 开启识别Json文件,默认false
    # 这一段表示从json文件里面初始化服务,如果我们配置了这个,就会将这写json里面的数据,都会自动导入到数据库中
    cas.serviceRegistry.initFromJson=true
    cas.serviceRegistry.watcherEnabled=true
    #设置配置的服务,一直都有,不会给清除掉 , 第一次使用,需要配置为 create-drop
    #create-drop 重启cas服务的时候,就会给干掉
    #create 没有表就创建,有就不创建
    #none 什么也不做
    #update 更新
    #Unrecognized legacy `hibernate.hbm2ddl.auto` value : create-drops
    cas.serviceRegistry.jpa.ddlAuto=update
    #配置将service配置到数据库中
    cas.serviceRegistry.jpa.isolateInternalQueries=false
    cas.serviceRegistry.jpa.url=${jdbc.url}
    cas.serviceRegistry.jpa.user=${jdbc.username}
    cas.serviceRegistry.jpa.password=${jdbc.password}
    #这个必须是org.hibernate.dialect.MySQL5Dialect ,我就是这个问题导致表创建失败
    cas.serviceRegistry.jpa.dialect=org.hibernate.dialect.MySQL5Dialect
    cas.serviceRegistry.jpa.driverClass=${jdbc.driver}
    cas.serviceRegistry.jpa.leakThreshold=10
    cas.serviceRegistry.jpa.batchSize=1
    cas.serviceRegistry.jpa.autocommit=true
    cas.serviceRegistry.jpa.idleTimeout=5000
    #配置结束
    ################################################
  • 这里说一下delete异常的问题,可以引入jdbcTemplate直接操作数据表,参考chapter36/cas-overlay-template-5.3.14/src/main/java/com/cas/config/DataSourceConfig.java

    1
    2
    3
    4
    5
    6
    7
    8
    List<Map<String, Object>> list = jdbcTemplate.queryForList("select * from regexregisteredservice where serviceId = '" + serviceId + "'");
    if (list != null && list.size() > 0) {
    has_data = true;
    jdbcTemplate.update("delete from regexregisteredservice where serviceId = '" + serviceId + "'");
    }

    //执行load生效
    servicesManager.load();

基于配置文件返回属性

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
#####################################################
## 属性返回
cas.authn.attributeRepository.jdbc[0].sql=select username,password,email from cas_user where username=?

# 格式cas.authn.attributeRepository.jdbc[0].attributes.key=value
# 返回上面查询结果的username,属性key名称也为username ,以下雷同
cas.authn.attributeRepository.jdbc[0].attributes.username=username
cas.authn.attributeRepository.jdbc[0].attributes.password=password
cas.authn.attributeRepository.jdbc[0].attributes.email=email

cas.authn.attributeRepository.jdbc[0].singleRow=true
cas.authn.attributeRepository.jdbc[0].order=0
cas.authn.attributeRepository.jdbc[0].requireAllAttributes=true
# cas.authn.attributeRepository.jdbc[0].caseCanonicalization=NONE|LOWER|UPPER
# cas.authn.attributeRepository.jdbc[0].queryType=OR|AND

cas.authn.attributeRepository.jdbc[0].username=username
#数据库连接
cas.authn.attributeRepository.jdbc[0].url=${jdbc.url}
#数据库dialect配置
cas.authn.attributeRepository.jdbc[0].dialect=${jdbc.dialect}
#数据库用户名
cas.authn.attributeRepository.jdbc[0].user=${jdbc.username}
#数据库用户密码
cas.authn.attributeRepository.jdbc[0].password=${jdbc.password}
#数据库事务自动提交
cas.authn.attributeRepository.jdbc[0].autocommit=true
#数据库驱动
cas.authn.attributeRepository.jdbc[0].driverClass=${jdbc.driver}
#超时配置
cas.authn.attributeRepository.jdbc[0].idleTimeout=5000
cas.authn.attributeRepository.jdbc[0].ddlAuto=none
cas.authn.attributeRepository.jdbc[0].leakThreshold=10
cas.authn.attributeRepository.jdbc[0].batchSize=1
cas.authn.attributeRepository.jdbc[0].dataSourceProxy=false

#####################################################

代码实现返回属性内容

  • 这个需要结合自定义登录策略来实现,代码参考:chapter36/cas-overlay-template-5.3.14/src/main/java/com/cas/security/CustomerHandlerAuthentication.java,注意要关闭配置文件的登录策略,否则会失效
  • 注册自定义登录策略,代码参考:chapter36/cas-overlay-template-5.3.14/src/main/java/com/cas/config/CustomAuthenticationConfig.java
  • 然后将其加入自动配置中,chapter36/cas-overlay-template-5.3.14/src/main/resources/META-INF/spring.factories
    1
    2
    3
    4
    5
    6
    7
    org.springframework.boot.autoconfigure.EnableAutoConfiguration=\
    org.apereo.cas.config.CasEmbeddedContainerTomcatConfiguration,\
    org.apereo.cas.config.CasEmbeddedContainerTomcatFiltersConfiguration,\
    com.cas.config.MyConfiguration,\ #自定义的其它需要加入spring上下文的bean
    com.cas.config.DataSourceConfig,\ #数据源配置,为了引入JdbcTemplate
    com.cas.config.CustomAuthenticationConfig,\ #自定义登录策略配置
    com.cas.config.CustomerAuthWebflowConfiguration #自定义登录流程配置

cas-client-springsecurity

  • 这里说一下,如果不使用springsecurity,而是直接依赖cas-client,其获取cas返回属性的方式

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    Principal principal = request.getUserPrincipal();
    if(principal instanceof AttributePrincipal){
    //cas传递过来的数据
    Map<String,Object> result =( (AttributePrincipal)principal).getAttributes();
    for(Map.Entry<String, Object> entry :result.entrySet()) {
    String key = entry.getKey();
    Object val = entry.getValue();
    System.out.printf("%s:%s\r\n",key,val);
    }
    }
  • 使用springsecurity的配置类代码参考:chapter36/springsecurity-client-demo/src/main/java/com/example/springsecuritydemo/config/WebSecurityConfigByCASByAttrs.java

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    /**
    * cas 认证 Provider
    */
    @Bean
    public CasAuthenticationProvider casAuthenticationProvider() {
    //创建CAS授权认证器
    CasAuthenticationProvider casAuthenticationProvider = new CasAuthenticationProvider();

    //设置Cas授权认证器相关配置
    casAuthenticationProvider.setServiceProperties(serviceProperties());
    //设置票据校验器
    casAuthenticationProvider.setTicketValidator(cas30ServiceTicketValidator());
    casAuthenticationProvider.setKey("casAuthenticationProviderKey");


    //setUserDetailsService和setAuthenticationUserDetailsService只能设置一个,其目的都是为了初始化属性authenticationUserDetailsService
    //setUserDetailsService的类型为UserDetailsService
    //setAuthenticationUserDetailsService的类型为AuthenticationUserDetailsService<CasAssertionAuthenticationToken>
    // 如果使用setUserDetailsService,则其会对UserDetailsService进行封装,new UserDetailsByNameServiceWrapper(userDetailsService),
    // 将其转换为AuthenticationUserDetailsService<CasAssertionAuthenticationToken>类型
    //这里使用setAuthenticationUserDetailsService是为了接收cas服务端返回的属性,因为CasAssertionAuthenticationToken会接收到返回的属性
    casAuthenticationProvider.setAuthenticationUserDetailsService(userDetailsServiceImplByAttrs());

    return casAuthenticationProvider;
    }

    @Bean
    public UserDetailsServiceImplByAttrs userDetailsServiceImplByAttrs(){
    UserDetailsServiceImplByAttrs userDetailsServiceImplByAttrs = new UserDetailsServiceImplByAttrs();
    return userDetailsServiceImplByAttrs;
    }

  • UserDetailsServiceImplByAttrs的重点就是要继承AbstractCasAssertionUserDetailsService,而不是实现UserDetailsService

    1
    2
    //实际可以接收的属性
    Map<String, Object> objectMap = assertion.getPrincipal().getAttributes();
  • 这里说一下AbstractCasAssertionUserDetailsService,它有一个实现类GrantedAuthorityFromAssertionAttributesUserDetailsService
    不过其将返回数据都做为用户的权限了,所以其只是用来从服务器端获取用户权限使用

    1
    2
    3
    4
    CasAuthenticationToken principal = (CasAuthenticationToken) request.getUserPrincipal();
    UserDetails userDetails = principal.getUserDetails();
    Collection<SimpleGrantedAuthority> authorities = (Collection<SimpleGrantedAuthority>) userDetails.getAuthorities();
    authorities.stream().forEach(System.out::println);
  • 如果希望灵活使用cas返回属性,则需要自定义实现类,笔者这里将获取到的属性map存储到自定义的CustomerUser属性中了

  • 代码中使用属性

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    #获取登录的用户名称
    String username = request.getRemoteUser();
    #获取cas返回属性
    CasAuthenticationToken principal = (CasAuthenticationToken) request.getUserPrincipal();
    UserDetails userDetails = principal.getUserDetails();
    if(userDetails instanceof CustomerUser){
    Map<String, Object> map = ((CustomerUser) userDetails).getMap();
    for (String key : map.keySet()) {
    Object value = map.get(key);
    if (value != null) {
    if (value instanceof List) {
    List list = (List) value;
    Iterator iterator = list.iterator();
    int i = 0;
    while (iterator.hasNext()) {
    Object object = iterator.next();
    System.out.println("key:" + key + ",values[" + i + "]:" + object.toString());
    i++;
    }
    } else {
    System.out.println("key:" + key + ",value:" + value.toString());
    }
    }
    }
    }
---------------- The End ----------------

欢迎关注我的其它发布渠道