1. CAS介绍
CAS(Central Authentication Service)中心认证服务
下面这张图来自官网,清晰简单的介绍了CAS的继续交互过程
2. CAS具体实现
首先需要分别搭建CAS-server和CAS-client服务,
这两个服务分别在2台机器上,官方地址如下:
https://github.com/apereo/java-cas-client
2.1 搭建CAS-server
这一步就不详细阐述了,许多公司内部都已经搭建好了CAS server,我们只需要把我们的域名注册到CAS server即可。
2. 搭建CAS-client
在我们自己的项目中,我们首先需要导入依赖
<dependency><groupId>org.jasig.cas.client</groupId><artifactId>cas-client-core</artifactId><version>3.6.4</version></dependency>
根据这个库的实现,我们还需要写2个Filter,分别为Filter1_CasAuthenticationFilter
和Filter2_CasTicketValidationFilter
具体实现如下:
Filter1_CasAuthenticationFilter
package com.vip.data.unific.server.config;import lombok.extern.slf4j.Slf4j;
import org.jasig.cas.client.authentication.AuthenticationFilter;
import org.springframework.beans.factory.annotation.Autowired;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.Arrays;@WebFilter(urlPatterns = "/*")
@Slf4j
public class Filter1_CasAuthenticationFilter implements Filter {private AuthenticationFilter authentication;@Autowiredprivate CasProperties casProperties;public Filter1_CasAuthenticationFilter() {super();}@Overridepublic void init(FilterConfig filterConfig) throws ServletException {this.authentication = new AuthenticationFilter();this.authentication.setIgnoreInitConfiguration(true);this.authentication.setServerName(casProperties.getServerName());this.authentication.setCasServerLoginUrl(casProperties.getCasUrlPrefix() + "/login");authentication.init(filterConfig);}@Overridepublic void doFilter(ServletRequest req, ServletResponse response, FilterChain chain) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) req;if (Boolean.TRUE.equals(casProperties.getSkipFilter())) {chain.doFilter(request, response);return ;}// 不需要 CAS 单点登录的页面直接跳过if (Arrays.stream(casProperties.getIgnorePaths()).filter(p -> request.getRequestURI().matches(p)).count() > 0) {
// log.info(LogMsgKit.of("doFilter").p("uri", request.getRequestURI()).end("跳过cas认证"));chain.doFilter(request, response);return;}this.authentication.doFilter(request, response, chain);}@Overridepublic void destroy() {this.authentication.destroy();}
}
Filter2_CasTicketValidationFilter
如下
package com.vip.data.unific.server.config;import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.*;@WebFilter(urlPatterns = "/*")
@Slf4j
public class Filter2_CasTicketValidationFilter implements Filter {private static String casServerUrlPrefix = "casServerUrlPrefix";private static String serverName = "serverName";private static String encoding = "encoding";private final TicketValidationWrapper ticketValidation;@Autowiredprivate CasProperties casProperties;public Filter2_CasTicketValidationFilter() {super();this.ticketValidation = new TicketValidationWrapper();}@Overridepublic void init(final FilterConfig filterConfig) throws ServletException {ticketValidation.init(new FilterConfig() {@Overridepublic String getFilterName() {return filterConfig.getFilterName();}@Overridepublic ServletContext getServletContext() {return filterConfig.getServletContext();}@Overridepublic String getInitParameter(String name) {String value = null;if (casServerUrlPrefix.equals(name)) {value = casProperties.getCasUrlPrefix();} else if (serverName.equals(name)) {value = casProperties.getServerName();} else if(encoding.equals(name)){value = casProperties.getEncoding();}if (value == null) {value = filterConfig.getInitParameter(name);}return value;}@Overridepublic Enumeration<String> getInitParameterNames() {Enumeration<String> name = filterConfig.getInitParameterNames();Set<String> set = new HashSet<>();while (name.hasMoreElements()) {set.add(name.nextElement());}set.add(casServerUrlPrefix);set.add(serverName);set.add(encoding);final Iterator<String> iterator = set.iterator();set = null;return new Enumeration<String>() {@Overridepublic boolean hasMoreElements() {return iterator.hasNext();}@Overridepublic String nextElement() {return iterator.next();}};}});ticketValidation.setRedirectAfterValidation(false);//取消重定向,自定义重定向}@Overridepublic void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException {HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) resp;if (Boolean.TRUE.equals(casProperties.getSkipFilter())) {chain.doFilter(request, response);return ;}// 不需要 CAS 单点登录的页面直接跳过if (Arrays.stream(casProperties.getIgnorePaths()).filter(p -> request.getRequestURI().matches(p)).count() > 0) {
// log.info(LogMsgKit.of("doFilter").p("uri", request.getRequestURI()).end("跳过cas认证"));chain.doFilter(request, response);return;}ticketValidation.doFilter(request, response, chain);}@Overridepublic void destroy() {ticketValidation.destroy();}
}
这2个Filter基本就是固定写法,顺序最好不要交换(虽然交换了也能执行成功),
3、常见问题讨论
常见问题
如果我有多台服务器,如何实现分布式session共享?
单点登录其本质就是分布式session共享的一种解决方案,也就是集中管理session,所以单点登录已经解决了session共享问题
用户访问/api/xxx路径,登录成功后跳转到/api/aaa路径,如何修改重定向路径?
修改重定向有2个方法,一个是修改response如下,但是cas-client中是直接response.sendRedirect();所以这种方法不管用
response.setHeader(“Location”,“/index”);
response.setStatus(302);
第二种方法,继承Cas20ProxyReceivingTicketValidationFilter,然后重写onSuccessfulValidation方法,自己定义重定向地址
public class TicketValidationWrapper extends Cas20ProxyReceivingTicketValidationFilter {// @Value("${cas.redirectURL}") //filter启动先于spring bean初始化public static final String redirectURL="/";@Overrideprotected void onSuccessfulValidation(final HttpServletRequest request, final HttpServletResponse response,final Assertion assertion) {try {response.sendRedirect(redirectURL);} catch (IOException e) {throw new RuntimeException(e);}}
}
为什么需要2个Filter,能写在一起吗?
2个Filter负责的职责不同,理论上可以写在一起,但是分开写逻辑更加清楚
这两个Filter的顺序能交换吗?
通过实验测试,发现2个Filter交换顺序并不会影响登录,用户体验结果是一样,但是F2放在F1前面的话会多走1此Filter,建议Filter1 auth,Filter2 ticket
Filter1_CasAuthenticationFilter
这个主要用来判断用户是否登录,没有登录则重定向到登录界面进行登录,登录完成继续重定向到原始路径
Filter2_CasTicketValidationFilter
这个主要用来验证是否有ST-ticket(ticket是一次性使用的)
session到底存储在哪?
登录成功后,CAS-server有一个session,当用户请求的cookie中携带TGT-xxx访问CAS-server时,可以得到一个ST-ticket
自己的app中也会存储一个session,当用户请求的cookie中携带jsessionid时,则判断为登录成功
也就是CAS-server和自己的app都存储一份session,这两个session是不一样的
编码时可能出现的问题?
注册Filter时,使用2个注解即可,否则会多次注册Filer,导致一个请求执行多次Filter
@ServletComponentScan 加在springboot启动main函数上
@WebFilter(urlPatterns = “/*”) 加在Filter上
Filter上不用加@Component,加了可能会报错或者filter多次注册
Filer执行多次原因还有可能是浏览器默认请求了favicon.ico这个文件,可能检查网络请求中是否有
参考链接:https://blog.csdn.net/chaijunkun/article/details/7646338
在Filter进行注入时要注意,无法使用@Value注入,因为Filter启动时,springbean还没初始化?(可能)
如何控制Filter执行顺序
@order注解不管用,默认是按照类名,所以建议以Filer1xxx,Filter2xxx命名
参考链接:https://www.cnblogs.com/tfgzs/p/4571137.html
下面是一些调研
分布式session解决方案
方案1:Tomcat集群Session全局复制(集群内每个tomcat的session完全同步)【会影响集群的性能】
方案2:根据请求的IP进行Hash映射到对应的机器上【如果服务器宕机了,会丢失Session的数据,实现最简单】
方案3:引入中间件Redis,把Session数据放在Redis中,已经实现的框架有Spring session 使用Spring Session和Redis解决分布式Session共享【有一定的侵入性,实现难度中等,】
方案4:JWT方式,user信息保存在token中,每次请求都携带token【可能存在安全问题,网络开销大一点】
(单点登录其实就属于方案1和3的结合,CAS-server保存登录状态,每个app中也保存的单独的session)
共同点(单点登录的核心)
问题:单点登录的问题是session是各个系统所独自拥有的,各个系统不知道用户是否登录,无法共享用户的登录状态,
目标/切入点:目标/切入点是 “一定要让所有的系统就都可以知道现在用户登录没有”,只要能够实现这个目标/切入点,就可以作为方案,所以 Tomcat集群Session全局复制、请求的IP一直会访问同一个服务器、引入中间件Redis 都是方案。