2. 程式人生 > >cas單點登錄-jdbc認證(三)

cas單點登錄-jdbc認證(三)

阿新 發佈:2017-11-13
warn uil 單向加密 admin rom hibernate con als salt

前言

本節的內容為JDBC認證,查找數據庫進行驗證,其中包括:

  • 密碼加密策略(無密碼,簡單加密,加鹽處理)
  • 認證策略(jdbc)

一、業務需求

不同的公司,需求業務需求或者架構不一樣導致我們實現驗證的方式不一樣,那麽cas為我們提供了很多認證的模式(當然也可以自定義),其中常用的有:

  • JDBC認證
  • LDAP認證
  • Basic認證
  • Shiro認證
  • Pac4j認證
  • MongoDB認證
  • Rest認證
  • IP黑白名單

還有可能交給第三方認證,例如:微信、QQ、新浪,github等等

當然也有一些公司或者企業也非常的變態,如:

  1. 認證中心不能直接訪問賬號庫,cas也提供功能,可以考慮用REST認證模塊來處理這個事情
  2. 老系統賬號唯一性不確定,例如 組織+賬號 才是唯一值,這時候只能自定義認證器(後面章節會有教程)
  3. 業務系統要求返回用戶密碼(多屬性返回)

二、加密方案

cas支持jdbc校驗方案:

  • 根據sql給予用戶名進行查詢,根據密碼字段進行鑒定(select * from table_users where username=?)可判斷有效等
  • 通過鹽等手段進行編碼加密再進行匹配(推薦)
  • 根據sql給予用戶名以及密碼進行查詢(select count(x) from tables_users where username = ? and password=?),不可判斷有效期,若數量大於0則成功
  • 根據用戶名密碼連接數據庫,原理是通過jdbc,若連接成功則成功

下文會講述前兩種的配置方法

常用單向加密算法:MD5、SHA、HMAC

一般的加密策略的三種:

  • 單項加密算法(密碼)
  • 單向加密算法(密碼+動態鹽+私有鹽)*加密次數(推薦
  • 不加密(不推薦

上述提到的加密方案策略,下面都會一一說明白

三、Jdbc認證

3.1、創建數據庫cas,新增一張用戶表sys_user

技術分享

說明:

  • expired字段表示過期,1表示已過期,需要修改密碼
  • disabled表示賬號是否禁用,1表示禁用

3.2、sys_user表數據

id username password expired email disabled
1 admin 845d5f1153c27beed29f479640445148 0 1
2 jacky caf1a3dfb505ffed0d024130f58c5cfa 1 0
4 zhangsan 68053af2923e00204c3ca7c6a3150cf7 0 0

說明:

  • 如果采用MD5加密,那password就是MD5加密後的密文,sha同樣如此
  • admin、jacky、zhangsan明文密碼分別是xiaoxiao、321、789

3.2、修改sso-server/pom.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <parent>
        <groupId>com.carl.auth</groupId>
        <artifactId>sso</artifactId>
        <version>1.0.0</version>
        <relativePath>../pom.xml</relativePath>
    </parent>

    <artifactId>sso-server</artifactId>
    <packaging>war</packaging>

    <name>sso-server</name>
    <description>CAS認證服務,負責各系統的鑒權的鑒權</description>

    <dependencies>
        <dependency>
            <groupId>org.apereo.cas</groupId>
            <artifactId>cas-server-webapp-tomcat</artifactId>
            <version>${cas.version}</version>
            <type>war</type>
            <scope>runtime</scope>
        </dependency>
        <!--新增支持jdbc驗證-->
        <dependency>
            <groupId>org.apereo.cas</groupId>
            <artifactId>cas-server-support-jdbc</artifactId>
            <version>${cas.version}</version>
        </dependency>
        <!--使用mysql驅動-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>${mysql.version}</version>
        </dependency>
    </dependencies>
    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.apereo.cas</groupId>
                <artifactId>cas-server-support-bom</artifactId>
                <version>${cas.version}</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <build>
        <plugins>
            <plugin>
                <groupId>com.rimerosolutions.maven.plugins</groupId>
                <artifactId>wrapper-maven-plugin</artifactId>
                <version>0.0.5</version>
                <configuration>
                    <verifyDownload>true</verifyDownload>
                    <checksumAlgorithm>MD5</checksumAlgorithm>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <version>${springboot.version}</version>
                <configuration>
                    <mainClass>org.springframework.boot.loader.WarLauncher</mainClass>
                    <addResources>true</addResources>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-war-plugin</artifactId>
                <version>3.1.0</version>
                <configuration>
                    <warName>cas</warName>
                    <failOnMissingWebXml>false</failOnMissingWebXml>
                    <recompressZippedFiles>false</recompressZippedFiles>
                    <archive>
                        <compress>false</compress>
                        <manifestFile>${project.build.directory}/war/work/org.apereo.cas/cas-server-webapp-tomcat/META-INF/MANIFEST.MF</manifestFile>
                    </archive>
                    <overlays>
                        <overlay>
                            <groupId>org.apereo.cas</groupId>
                            <artifactId>cas-server-webapp-tomcat</artifactId>
                        </overlay>
                    </overlays>
                </configuration>
            </plugin>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <version>3.3</version>
            </plugin>
        </plugins>
        <finalName>cas</finalName>
    </build>
</project>

3.3、application.properties新增配置

#jdbc驗證配置
#Query Database Authentication 數據庫查詢校驗用戶名開始
#查詢賬號密碼sql,必須包含密碼字段
cas.authn.jdbc.query[0].sql=select * from sys_user where username=?
#指定上面的sql查詢字段名(必須)
cas.authn.jdbc.query[0].fieldPassword=password
#指定過期字段,1為過期,若過期需要修改密碼
cas.authn.jdbc.query[0].fieldExpired=expired
#為不可用字段段,1為不可用,
cas.authn.jdbc.query[0].fieldDisabled=disabled
#數據庫方言hibernate的知識
cas.authn.jdbc.query[0].dialect=org.hibernate.dialect.MySQLDialect
#數據庫驅動 
cas.authn.jdbc.query[0].driverClass=com.mysql.jdbc.Driver
 #數據庫連接 
cas.authn.jdbc.query[0].url=jdbc:mysql://localhost:53306/cas?useUnicode=true&characterEncoding=UTF-8
 #數據庫用戶名 
cas.authn.jdbc.query[0].user=root
 #數據庫密碼
cas.authn.jdbc.query[0].password=123456
 #默認加密策略,通過encodingAlgorithm來指定算法,默認NONE不加密 
cas.authn.jdbc.query[0].passwordEncoder.type=DEFAULT 
cas.authn.jdbc.query[0].passwordEncoder.characterEncoding=UTF-8 
cas.authn.jdbc.query[0].passwordEncoder.encodingAlgorithm=MD5
 #Query Database Authentication 數據庫查詢校驗用戶名結束 #jdbc驗證配置

以上配置,如驅動,查詢數據庫等等需要根據不同的場景進行調整

  • 若密碼無加密,調整passwordEncoder.type=NONE
  • 若密碼加密策略為SHA,調整passwordEncoder.encodingAlgorithm=SHA
  • 若算法為自定義,實現org.springframework.security.crypto.password.PasswordEncoder接口,並且把類名配置在passwordEncoder.type

3.4、執行流程

例如:輸入admin/xiaoxiao

技術分享

3.5、對密碼進行鹽值處理再加密,application.properties配置文件修改

#Encode Database Authentication 開始
#加密次數
cas.authn.jdbc.encode[0].numberOfIterations=2
#該列名的值可替代上面的值,但對密碼加密時必須取該值進行處理
cas.authn.jdbc.encode[0].numberOfIterationsFieldName=
# 鹽值固定列
cas.authn.jdbc.encode[0].saltFieldName=username
#靜態鹽值
cas.authn.jdbc.encode[0].staticSalt=.
cas.authn.jdbc.encode[0].sql=select * from sys_user_encode where username=?
#對處理鹽值後的算法
cas.authn.jdbc.encode[0].algorithmName=MD5
cas.authn.jdbc.encode[0].passwordFieldName=password
cas.authn.jdbc.encode[0].expiredFieldName=expired
cas.authn.jdbc.encode[0].disabledFieldName=disabled
cas.authn.jdbc.encode[0].url=jdbc:hsqldb:mem:cas-hsql-database
cas.authn.jdbc.encode[0].dialect=jdbc:mysql://localhost:53306/cas?useUnicode=true&characterEncoding=UTF-8
cas.authn.jdbc.encode[0].user=root 
cas.authn.jdbc.encode[0].password=123456 
cas.authn.jdbc.encode[0].driverClass=com.mysql.jdbc.Driver

#Encode Database Authentication 結束

4、驗證

4.1、輸入admin/xiaoxiao

技術分享

4.2、輸入、jacky/321

技術分享

4.3、輸入zhangsan/789

技術分享

5、總結

  • pom.xm配置引入jdbc支持包,和 數據庫驅動包
  • application.properties增加數據連接配置和加密方式

cas單點登錄-jdbc認證(三)

相關推薦

cas-jdbc認證

warn uil 單向加密 admin rom hibernate con als salt 前言 本節的內容為JDBC認證,查找數據庫進行驗證,其中包括: 密碼加密策略(無密碼,簡單加密,加鹽處理) 認證策略(jdbc) 一、業務需求 不同的公司,需求業務需求或者架

Spring+ Spring cloud + SSO應用認證

spring spring cloud 之前的文章中有介紹spring cloud sso集成的方案,也做過spring + jwt + redis的解決方案,不同系統的無縫隙集成,統一的sso單點登錄界面的管理、每個應用集成的權限認證,白名單等都是我們需要考慮的,現在針對於以上的問題我們做了sso單

[精華][推薦]SSO CAS搭建詳細步驟及源碼

springmvc mybatis dubbo java 1.修改server.xml文件,如下:註意: 這裏使用的是https的認證方式,需要將這個配置放開,並做如下修改: <Connector port="8443" protocol="org.apa

SSO之CAS詳細搭建教程(轉)

接下來 .cn tle .bat then ati qq群 code mic 本教程是我個人編寫,花費幾個小時的時間,給需要學習的人員學習使用,希望能幫助到你們。 https://www.cnblogs.com/zhoubang521/p/5200407.html

cas(一) 生成證書

ali ip地址 log stc java_home conn store 地址 密碼 生成 證書 實現:使用jdk自帶的keytool 工具生成證書。 命令: keytool -genkey -alias tomcat -keyalg RSA -keystore c

CAS的配置

eight drive app clas 應用程序 失敗 jdk1 cal 提示符 1.生成安全證書 Cas server默認的安全認證是基於https協議的,這就要求在應用程序和CAS Server端配置SSL協議。(當然也可以在cas server中配置讓其可以用htt

CAS原理

server 不用 認證 uid 用戶登錄 回顧 用戶權限 判斷 依據 轉自 https://www.cnblogs.com/lihuidu/p/6495247.html 1、基於Cookie的單點登錄的回顧 基於Cookie的單點登錄核心原

SSO CAS搭建詳細步驟及源碼

進行 tar tor 配置 keystore 啟動 安裝目錄 img bcd 1.因為是本地模擬sso環境,而sso的環境測試需要域名,所以需要虛擬幾個域名出來,步驟如下: 2.進入目錄C:\Windows\System32\drivers\etc 3.修改hosts文件

cas服務端、客戶端搭建

tool 配置https ip訪問 ads 地址 問題 安全證書 pool ash jdk1.6 apache-tomcat-7 cas-server-webapp-4.0.0.war、cas-client-core-3.2.1.jar (1)cas服務端 一、.修改h

CAS詳細流程

代碼 之前 開源 登錄 cli 登錄訪問 輸入 保護 通過 一、CAS簡介和整體流程 CAS 是 Yale 大學發起的一個開源項目,旨在為 Web 應用系統提供一種可靠的單點登錄方法,CAS 在 2004 年 12 月正式成為 JA-SIG 的一個項目。CAS 具有以下特點

CAS入門

can 效果 png b- 系統 text 信任 cati 產品 一、單點登錄簡介   SOO是現在企業比較流行的業務整合解決方案之一,定義解決登錄,可以應用在不同系統中,用戶只需要登錄一次,就可以訪問所有相互信任的應用系統(模塊開發、同家公司不同產品等等),例如百度,旗

cas

listen === -s 改名 ida onf img get www. 學習鏈接: https://blog.csdn.net/qq_24708791/article/details/78535565 https://mianhuaman.iteye.com/blo

nginx配置反向代理CAS應用

efault clas fault header oca timeout 代理 反向 redirect 新增如下配置即可: location /cas { proxy_pass http://172.16.20.155:8080/cas; prox

CAS服務器配置文件

build asus loginurl pom 功能 ren 4.0 all ebs 賬戶casuser 密碼Mellon DEMO01 web <?xml version="1.0" encoding="UTF-8"?> <web-app

cas登入原理簡單介紹1

SSO簡介 1.1 單點登入定義 單點登入(Single sign on),英文名稱縮寫SSO,SSO的意思就是在多系統的環境中,登入單方系統,就可以在不用再次登入的情況下訪問相關受信任的系統。也就是說只要登入一次單體系統就可以。計劃在專案中加入單點登入,開發

spring boot 註冊 demo -- 前後端傳遞

lin 表單提交 www col log ref rec put 內容 前端頁面通過thymeleaf渲染     <dependency> <groupId>org.springframework.boot</gro

身份認證系統多WEB應用的

會有 求和 頂級域名 等等 票據 什麽 多個 另一個 如何解決 隨著互聯網的發展,web應用的復雜度也一直在提升,慢慢的單一的web應用已經不能滿足復雜的業務需求。例如百度的搜索、新聞、百科、貼吧,其實本質上都是不同的網站。當用戶使用這些平臺的時候,我們當然不希望用戶在每一

JavaB2B2C多用戶商城springcloud架構-SSOOAuth2.0認證

url路徑 都在 哪些 auth code 受保護 adapt pass 配置 url 之前寫了很多關於spring cloud的文章,今天我們對OAuth2.0的整合方式做一下筆記,首先我從網上找了一些關於OAuth2.0的一些基礎知識點,幫助大家回顧一下知識點: 一、o

cas常見問題(八) - 什麽時候會用到代理proxy模式?

cat 針對 單點 filter art mat 資源 這樣的 clas 舉一個樣例:有兩個應用App1和App2,它們都是受Casserver保護的,即請求它們時都須要通過Cas server的認證。如今須要在App1中通過Http請求訪問App2,顯然該請求將會

Shiro學習15

XML init mage oid login plugin void keystore .com Shiro 1.2開始提供了Jasig CAS單點登錄的支持,單點登錄主要用於多系統集成,即在多個系統中,用戶只需要到一個中央服務器登錄一次即可訪問這些系統中的任何一個,無須