在工作中經常會對CAS進行二次改造適應不同的單點登入場景。這篇文章主要對CAS 4.1.10版本進行原始碼解讀（主要是登入流程）。不同版本可以在github下載。

一、準備

下載下來的cas-overlay-template的依賴中預設只有

<dependency>
  <groupId>org.jasig.cas</groupId>
  <artifactId>cas-server-webapp</artifactId>
  <version>${cas.version}</version>
  <
 
type>war</type>
  <scope>runtime</scope>
</dependency>

為了跟蹤相關的程式碼還需要新增下面的兩個依賴

<dependency>
  <groupId>org.jasig.cas</groupId>
  <artifactId>cas-server-core</artifactId>
  <version>${cas.version}</version>
  </dependency>
  <
 
dependency>
    <groupId>org.jasig.cas</groupId>
    <artifactId>cas-server-webapp-support</artifactId>
    <version>${cas.version}</version>
</dependency>

二、原始碼解讀

2.1 訪問CAS服務端進行認證

CAS 是使用SpringMVC+Spring WebFlow(工作流框架)控制登入，登出流程的。

一般情況下，我們在瀏覽器訪問http://localhost:8080/cas

<%@ page language="java"  session="false" %>
<%
final String queryString = request.getQueryString();
final String url = request.getContextPath() + "/login" + (queryString != null ? "?" + queryString : "");
response.sendRedirect(response.encodeURL(url));%>

從上面index.jsp頁面的內容發現，它會從定向到http://localhost:8080/cas/login，該路徑是由名為cas 的 servlet進行處理的

<servlet>
    <servlet-name>cas</servlet-name>
    <servlet-class>
        org.springframework.web.servlet.DispatcherServlet
    </servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/cas-servlet.xml, /WEB-INF/cas-servlet-*.xml</param-value>
    </init-param>
    <init-param>
        <param-name>publishContext</param-name>
        <param-value>false</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/login</url-pattern>
</servlet-mapping>

這裡將請求交給了SpringMVC進行處理。

2.2 SpringMVC與Spring WebFlow整合

在上面的servlet配置中會發現，其核心的配置檔案是/WEB-INF/cas-servlet.xml, /WEB-INF/cas-servlet-*.xml。SpringMVC在初始化的時候會去自動載入cas-servlet.xml或cas-servlet-*.xml配置。在WEB-INF目錄下我們找到了cas-servlet.xml這個檔案，裡面對SpringMVC和Spring WebFlow進行了整合配置。如果想深入瞭解可以參考整合細節

<!--為login登入請求開啟流處理-->
<bean id="loginHandlerAdapter" class="org.jasig.cas.web.flow.SelectiveFlowHandlerAdapter"
        p:supportedFlowId="login" p:flowExecutor-ref="loginFlowExecutor" p:flowUrlHandler-ref="loginFlowUrlHandler" />
<!-- login webflow configuration -->
<!--將特定應用程式資源對映到流-->
<bean id="loginFlowHandlerMapping" class="org.springframework.webflow.mvc.servlet.FlowHandlerMapping"
      p:flowRegistry-ref="loginFlowRegistry" p:order="2">
  <property name="interceptors">
      <array value-type="org.springframework.web.servlet.HandlerInterceptor">
          <ref bean="localeChangeInterceptor" />
      </array>
  </property>
</bean>
<!--註冊一個工作流節點,login的請求交由login-webflow.xml定義的處理器進行處理-->
<webflow:flow-registry id="loginFlowRegistry" flow-builder-services="builder" base-path="/WEB-INF/webflow">
  <webflow:flow-location-pattern value="/login/*-webflow.xml"/>
</webflow:flow-registry>
<!--view-factory-creator屬性，該屬性就定義了檢視解析工廠-->
<webflow:flow-builder-services id="builder" view-factory-creator="viewFactoryCreator" expression-parser="expressionParser" />
<bean id="viewFactoryCreator" class="org.springframework.webflow.mvc.builder.MvcViewFactoryCreator">
  <property name="viewResolvers">
    <util:list>
      <ref bean="viewResolver"/>
      <ref bean="internalViewResolver"/>
    </util:list>
  </property>
</bean>
<!-- View Resolver  -->
<bean id="viewResolver" class="org.springframework.web.servlet.view.ResourceBundleViewResolver"
      p:order="0">
  <property name="basenames">
      <util:list>
          <value>cas_views</value>
      </util:list>
  </property>
</bean>

如果對SpringMVC的請求路徑是login,那麼SpringMVC會交給webflow進行處理。flow-builder-services節點中有個view-factory-creator屬性，該屬性定義了檢視解析工廠。該檢視解析工廠是由檢視解析器組成的。這裡只定義了一個檢視解析器，就是viewResolvers。該檢視解析器是springFramework中的ResourceBundleViewResolver的一個例項，該類可以通過basenames屬性，找到value值對應的properties屬性檔案，該檔案中式類似ke=values型別的內容，正是該檔案將jsp檔案對映成檢視名稱。

2.3 CAS 登入流程解析

由上面的分析知道，登入流程的配置檔案是/WEB-INF/webflow/login目錄下的login-webflow。

<var name="credential" class="org.jasig.cas.authentication.UsernamePasswordCredential"/>

定義UsernamePasswordCredential型別的變數，用於存放使用者名稱和密碼（預設），可進行擴充套件存放更多的屬性。

<on-start>
    <evaluate expression="initialFlowSetupAction"/>
</on-start>

這是流程開始的操作，要去執行initialFlowSetupAction這個bean，它定義在cas-servlet.xml裡面

<bean id="initialFlowSetupAction" class="org.jasig.cas.web.flow.InitialFlowSetupAction"
        p:argumentExtractors-ref="argumentExtractors"
        p:warnCookieGenerator-ref="warnCookieGenerator"
        p:ticketGrantingTicketCookieGenerator-ref="ticketGrantingTicketCookieGenerator"
        p:servicesManager-ref="servicesManager"
        p:enableFlowOnAbsentServiceRequest="${create.sso.missing.service:true}"  />

org.jasig.cas.web.flow.InitialFlowSetupAction繼承自AbstractAction，AbstractAction方法是org.springframework.webflow.action包中的類,是webflow中的基礎類。該類中的doExecute方法是對應處理業務的方法。

  protected Event doExecute(RequestContext context) throws Exception {
    HttpServletRequest request = WebUtils.getHttpServletRequest(context);
    String contextPath = context.getExternalContext().getContextPath();
    String cookiePath = StringUtils.isNotBlank(contextPath) ? contextPath + '/' : "/";
    if (StringUtils.isBlank(this.warnCookieGenerator.getCookiePath())) {
      this.logger.info("Setting path for cookies for warn cookie generator to: {} ", cookiePath);
      this.warnCookieGenerator.setCookiePath(cookiePath);
    } else {
      this.logger.debug("Warning cookie path is set to {} and path {}", this.warnCookieGenerator.getCookieDomain(), this.warnCookieGenerator.getCookiePath());
    }

    if (StringUtils.isBlank(this.ticketGrantingTicketCookieGenerator.getCookiePath())) {
      this.logger.info("Setting path for cookies for TGC cookie generator to: {} ", cookiePath);
      this.ticketGrantingTicketCookieGenerator.setCookiePath(cookiePath);
    } else {
      this.logger.debug("TGC cookie path is set to {} and path {}", this.ticketGrantingTicketCookieGenerator.getCookieDomain(), this.ticketGrantingTicketCookieGenerator.getCookiePath());
    }
    //將TGT放在RequestScope作用域中
    WebUtils.putTicketGrantingTicketInScopes(context, this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request));
    //將warnCookieValue放在RequestScope作用域中
    WebUtils.putWarningCookie(context, Boolean.valueOf(this.warnCookieGenerator.retrieveCookieValue(request)));
    //獲取service引數
    Service service = WebUtils.getService(this.argumentExtractors, context);
    if (service != null) {
      this.logger.debug("Placing service in context scope: [{}]", service.getId());
      //查詢註冊的service
      RegisteredService registeredService = this.servicesManager.findServiceBy(service);
      if (registeredService != null && registeredService.getAccessStrategy().isServiceAccessAllowed()) {
        this.logger.debug("Placing registered service [{}] with id [{}] in context scope", registeredService.getServiceId(), registeredService.getId());
        WebUtils.putRegisteredService(context, registeredService);
        RegisteredServiceAccessStrategy accessStrategy = registeredService.getAccessStrategy();
        if (accessStrategy.getUnauthorizedRedirectUrl() != null) {
          this.logger.debug("Placing registered service's unauthorized redirect url [{}] with id [{}] in context scope", accessStrategy.getUnauthorizedRedirectUrl(), registeredService.getServiceId());
          WebUtils.putUnauthorizedRedirectUrl(context, accessStrategy.getUnauthorizedRedirectUrl());
        }
      }
    } else if (!this.enableFlowOnAbsentServiceRequest) {
      this.logger.warn("No service authentication request is available at [{}]. CAS is configured to disable the flow.", WebUtils.getHttpServletRequest(context).getRequestURL());
      throw new NoSuchFlowExecutionException(context.getFlowExecutionContext().getKey(), new UnauthorizedServiceException("screen.service.required.message", "Service is required"));
    }

    WebUtils.putService(context, service);
    return this.result("success");
  }

該方法的引數是RequestContext物件，該引數是一個流程的容器。該方法從request中獲取TGT，並且構建一個臨時的service物件（不同域註冊的service，詳情見接入系統管理）。並且，將TGT，warnCookieValue和service放在RequestContext作用域中，以便在登入流程中的state中進行判斷

<action-state id="ticketGrantingTicketCheck">
    <evaluate expression="ticketGrantingTicketCheckAction"/>
    <transition on="notExists" to="gatewayRequestCheck"/>
    <transition on="invalid" to="terminateSession"/>
    <transition on="valid" to="hasServiceCheck"/>
</action-state>

初始化完成後，登入流程流轉到第一個state（ticketGrantingTicketExistsCheck）

<bean id="ticketGrantingTicketCheckAction" class="org.jasig.cas.web.flow.TicketGrantingTicketCheckAction"
       c:centralAuthenticationService-ref="centralAuthenticationService" />

它會去執行ticketGrantingTicketCheck的doExecute方法檢查requestContext中是否存在TGT,TGT是否有效

protected Event doExecute(RequestContext requestContext) throws Exception {
    String tgtId = WebUtils.getTicketGrantingTicketId(requestContext);
    if (!StringUtils.hasText(tgtId)) {
      return new Event(this, "notExists");
    } else {
      String eventId = "invalid";

      try {
        //驗證TGT是否有效
        Ticket ticket = this.centralAuthenticationService.getTicket(tgtId, Ticket.class);
        if (ticket != null && !ticket.isExpired()) {
          eventId = "valid";
        }
      } catch (TicketException var5) {
        this.logger.trace("Could not retrieve ticket id {} from registry.", var5);
      }

      return new Event(this, eventId);
    }
  }

第一次訪問應用系統http://app1.example.com,此時應用系統會跳轉到CAS單點登入的伺服器端http://127.0.0.1:8081/cas-server/login?service=http%3a%2f%2fapp1.example.com,此時，request的cookies中不存在CASTGC（TGT），因此RequestContext作用域中的ticketGrantingTicketId為null，登入流程流轉到第二個state（gatewayRequestCheck）

<decision-state id="gatewayRequestCheck">
    <if test="requestParameters.gateway != '' and requestParameters.gateway != null and flowScope.service != null"
        then="gatewayServicesManagementCheck" else="serviceAuthorizationCheck"/>
</decision-state>

初始化時，把service儲存在了RequestContext作用域中，但request中的引數gateway不存在，登入流程流轉到第三個state（serviceAuthorizationCheck）

<!-- Do a service authorization check early without the need to login first -->
<action-state id="serviceAuthorizationCheck">
    <evaluate expression="serviceAuthorizationCheck"/>
    <transition to="generateLoginTicket"/>
</action-state>

<bean id="serviceAuthorizationCheck" class="org.jasig.cas.web.flow.ServiceAuthorizationCheck"
   c:servicesManager-ref="servicesManager" />

執行它的doExecute方法

protected Event doExecute(RequestContext context) throws Exception {
    Service service = WebUtils.getService(context);
    if (service == null) {
      return this.success();
    } else if (this.servicesManager.getAllServices().isEmpty()) {
      String msg = String.format("No service definitions are found in the service manager. Service [%s] will not be automatically authorized to request authentication.", service.getId());
      this.logger.warn(msg);
      throw new UnauthorizedServiceException("screen.service.empty.error.message");
    } else {
      RegisteredService registeredService = this.servicesManager.findServiceBy(service);
      String msg;
      if (registeredService == null) {
        msg = String.format("Service Management: Unauthorized Service Access. Service [%s] is not found in service registry.", service.getId());
        this.logger.warn(msg);
        throw new UnauthorizedServiceException("screen.service.error.message", msg);
      } else if (!registeredService.getAccessStrategy().isServiceAccessAllowed()) {
        msg = String.format("Service Management: Unauthorized Service Access. Service [%s] is not allowed access via the service registry.", service.getId());
        this.logger.warn(msg);
        WebUtils.putUnauthorizedRedirectUrlIntoFlowScope(context, registeredService.getAccessStrategy(). 
 

            
  
           

              
              
            
            
相關推薦
			   
            
            
            
 

    

    
    
CAS 4.1.10 版本服務端原始碼解讀
     
  
  
  
 在工作中經常會對CAS進行二次改造適應不同的單點登入場景。這篇文章主要對CAS 4.1.10版本進行原始碼解讀（主要是登入流程）。不同版本可以在github下載。 
 一、準備 
 下載下來的cas-overlay-template的依賴中預設只有 
 <dependency>
 

  
 

    

    
    
輕松搭建CAS系列(1)-使用cas overlay搭建SSO SERVER服務端
     
 連接   登錄   mage   pla   class   TP   build   基礎上   解壓   概要說明

cas的服務端搭建有兩種常用的方式：   1. 基於源碼的基礎上構建出來的   2. 使用WAR overlay的方式來安裝 官方推薦使用第二種，配置管理方便，以後升級也容易。本文就是使用 

  
 

    

    
    
【1】netty4服務端啟動原始碼分析-執行緒的建立
     
  
  
  
 轉自 http://xw-z1985.iteye.com/blog/1925013 
 本文分析Netty中boss和worker的執行緒的建立過程： 
 以下程式碼是服務端的啟動程式碼，執行緒的建立就發生在其中。 
 EventLoopGroup bossGroup = new NioEv 

  
 

    

    
    
cas-4.1.7自定義登入介面修改，為不同的服務指定不同的主題、國際化
     
  
 
 自定義登入介面修改 
 參考博文：https://www.cnblogs.com/wangyang108/p/5843940.html 
 在檔案login-webflow.xml中 ,<view-state id="viewLoginForm" view="casLoginView" mod 

  
 

    

    
    
cas單點登錄服務端、客戶端搭建
     
 tool   配置https   ip訪問   ads   地址   問題   安全證書   pool   ash   jdk1.6
apache-tomcat-7
cas-server-webapp-4.0.0.war、cas-client-core-3.2.1.jar
 
（1）cas服務端
一、.修改h 

  
 

    

    
    
伺服器搭建--安裝svn1.10.3服務端
     
  
 
  
  
 安裝要素 
 bzip2 expat-2.2.6 apr-1.6.5 apr-util-1.6.1 scons python serf-1.3.9 sqlite-3.25.2 subversion-1.10.3 
 安裝步驟 
 bzip2 
 yum -y install bzip2. 

  
 

    

    
    
C++ TCP多客戶端通訊《服務端原始碼》
     
  
 
 
 1、先看一下執行成果： 
  
  
   
   
    多客戶端
   
  
  
 伺服器已經在之前啟動，並且伺服器被隱藏在後臺，所以並不會顯示出來。 
  客戶端之間聊天方式為：[客戶端ID:聊天資訊]，例如：828:你是誰. 
 客戶端與伺服器之間：直接輸入數字1-3 
 

  
 

    

    
    
LDAP基礎：10：服務端工具：使用phpLDAPadmin進行操作
     
  
 
  
  
 在上篇文章中介紹瞭如何使用Apache Directory Studio的客戶端來操作LDAP，但是這種方式需要安裝客戶端工具。在這篇文章裡將介紹伺服器端的工具phpLDAPadmin，這樣使用者通過瀏覽器即可獲得對於OpenLdap操作的能力。 
 事前準備 
 docker-comp 

  
 

    

    
    
CAS 5.1.x版本代理模式實現
     
 
							
							
							一、什麼是CAS的代理認證

  在我們的專案中，有這樣一個場景：有兩個服務holiday(節假日服務)和mainWeb(整合服務)，這兩個服務都集成了CAS，所有的請求都要經過CAS Server的認證。由於mainWeb內部會去呼叫holiday的服務，但是 

  
 

    

    
    
CAS 5.1.X版本自定義jdbc驗證
     
 
							
							
							一、前言

在不同的專案中，可能由於業務需求或者架構方式的不同，對於使用者登入的驗證方式也不同。CAS為我們提供了很多的認證模式，其中最常見的認證方式有：


JDBC認證，可以通過配置，也可以重寫cas相關方法進行自定義認證
LDAP認證
Basic認證
Sh 

  
 

    

    
    
CAS 5.1.5版本多屬性返回
     
 
							
							
							預設情況下單點登入只返回登入的使用者名稱，不會返回其它的使用者資訊。如果想要返回更多的使用者資訊，我們需要進行擴充套件開發。比如返回使用者的id，cas客戶端從請求中獲取登入使用者的id。本文是基於CAS 5.1.X版本自定義jdbc驗證這篇文章進行敘述。


 

  
 

    

    
    
sofa-rpc 服務端原始碼流程走讀
     
 sofa-rpc是阿里開源的一款高效能的rpc框架，這篇文章主要是對sofa-rpc provider啟動服務流程的一個程式碼走讀，下面是我簡單繪製的一個基本的關係流程圖

下面我們根據sofa-rpc程式碼，對流程進行一個跟蹤與走讀。我們以BoltServer的為例

    public static v 

  
 

    

    
    
Win10環境下安裝 NVIDIA Cuda9.0 + 多環境Anaconda3-5.2.0 + PyTorch 0.4.1 GPU版本 + PyCharm環境配置
     
 
							
							
							
前提準備
1、電腦必須支援NVIDIA獨立顯示卡並且已經安裝獨顯驅動
（8G以下就不用考慮安裝了），如下圖所示

2、設定首選圖形處理器
在NVIDIA 控制面板中 -> 選擇管理 3D 設定 -> 全域性設定 -> 首選圖形處理器中選擇高效 

  
 

    

    
    
基於 PhantomJS + Node + Express + VueJS 1.x 的服務端渲染實踐
     
 

 
 

 
 
 專案地址：github.com/jrainlau/vu… 
 
隨著Vue 2.0的釋出，服務端渲染一度成為了它的熱賣點。在此之前，單頁應用的首屏載入時長和SEO的問題，一直困擾著開發者們，也在一定程度上制約著前端框架的使用場景。React提出的服務端渲染方案，較好得解決了上述兩個痛點 

  
 

    

    
    
專案例項：WebService axis1.4高階程式設計（服務端、客戶端）
     
 package com.axis.test;
import java.util.ArrayList;
import java.util.Date;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
import jav 

  
 

    

    
    
Symfony 4.2.2、4.1.10 和 3.4.21 釋出，經典的 PHP Web 框架
     
  
    
 
日前，Symfony 為多個分支進行了更新，包括 4.2.2，4.1.10 和 3.4.21 。

 Symfony 4.2.2：https://symfony.com/blog/symfony-4-2-2-released
 Symfony 4.1.10：ht 

  
 

    

    
    
解決 KindEditor編輯器4.1.7版本上傳視訊不能播放的問題
     
 
                
1、問題截圖：

2、除錯後截圖：

3、更改程式碼（兩處）：
①：kindeditor/plugins/media/media.js中
“var html = K.mediaImg(self.themesPath + 'common/blank.gif', {”改為：
“ 

  
 

    

    
    
kindeditor   4.1.10  上傳的flash不能顯示問題
     
 
                
首先要謝謝http://zlboy888.blog.163.com/blog/static/31535707201332521627729/ 這位哥的共享，
我按照他的提示做了，可是不行，我用的版本是version 4.1.10 (2013-11-23)，
1： 由於我用的 

  
 

    

    
    
Windows下利用cwRsync批量同步檔案(4.1.0版本)
     
 
                      前段時間寫了一篇linux下利用rsync批量更新的文章，網遊公司windows伺服器還是很多的，今天就來講講windows下批量更新的方法，windows下同步資料利用cwRsync來完成的一、系統環境windows 2003 R2 sp2　　更新源伺服器：10 

  
 

    

    
    
django 1.10版本解決中CSRF問題
     
 
                

本部分是基於Django 1.10版本

>>> import django
>>> django.get_version()
'1.10.6'
CSRF是（Cross-Site Request Forgery）跨站請求偽造，簡單的用於