2. 程式人生 > >Nginx+Springboot+Security+CAS 整合方案-XML 實現SSO客戶端

Nginx+Springboot+Security+CAS 整合方案-XML 實現SSO客戶端

阿新 發佈:2019-01-07

javaconfig版本: https://www.cnblogs.com/question-sky/p/7068511.html

以下使用的是SpringBoot 2.1.1進行測試

0 Maven引用

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!-- 新增spring security cas支援 -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-cas</artifactId>
        </dependency>

1 Springboot 啟動類註解和配置掃描

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)  //  啟用方法級別的許可權認證
@ImportResource(locations={"classpath:spring/spring-security.xml"})
server.servlet.context-path=/b  //設定專案的全域性URL字首(此處只是專案需求,與整合無關)

2 配置spring-security.xml

  localhost:8080 為CAS認證伺服器(認證伺服器搭建 

https://blog.csdn.net/shanchahua123456/article/details/85547516

  localhost:8787 為當前專案

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- http標籤是 spring security 配置標籤-->
    <http pattern="/static/**" security="none"></http>
    <http pattern="/css/**" security="none"></http>
    <http pattern="/img/**" security="none"></http>
    <http pattern="/js/**" security="none"></http>
    <http pattern="/plugins/**" security="none"></http>

    <!-- security 配置  use-expressions:是否啟動SPEL表示式 預設是true -->
    <!-- cas入口點引用  entry-point-ref是security框架接入第三方服務的通用入口     -->
    <http use-expressions="true" entry-point-ref="casProcessingFilterEntryPoint">
        <!-- security 配置 頁面的攔截規則-->
        <intercept-url pattern="/**" access="hasRole('ROLE_USER')"/>
        <intercept-url pattern="/b/qq/**" access="hasRole('ROLE_USER') and hasIpAddress('10.10.10.3')" />
        <csrf disabled="true"/>
        <!-- html允許載入 同源iframe -->
        <headers>
            <frame-options policy="SAMEORIGIN"/>
        </headers>
        <!-- custom-filter為過濾器, position 表示將過濾器放在指定的位置上,before表示放在指定位置之前  ,after表示放在指定的位置之後  -->
        <!-- 將CAS的過濾器 加入security框架-->
        <custom-filter ref="casAuthenticationFilter"  position="CAS_FILTER" />
        <custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER"/>
        <custom-filter ref="singleLogoutFilter" before="CAS_FILTER"/>
    </http>

    <!-- CAS入口點 開始 -->
    <!--  localhost:8080 為CAS認證伺服器地址-->
    <!--  localhost:8787 為本專案地址-->
     <beans:bean id="casProcessingFilterEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint">
         <!-- 單點登入CAS伺服器登入URL , localhost:8080 為CAS認證伺服器,需要登入時會重定向到此URL上-->
        <beans:property name="loginUrl" value="http://localhost:8080/cas/login"/>
        <beans:property name="serviceProperties" ref="serviceProperties"/>
    </beans:bean>
    <!--設定客戶端service的屬性-->
    <beans:bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">
        <!--設定回撥的service路徑 配置 自身工程的根地址+/login/cas 是固定寫法。必須是此格式,不然會造成死迴圈,出現“重定向過多”錯誤-->
        <!--注意:因為本專案設定了公共URL字首server.servlet.context-path=/b,所以根地址為localhost:8787/b,否則根地址是localhost:8787  -->
        <beans:property name="service" value="http://localhost:8787/b/login/cas"/>
</beans:bean>
<!-- CAS入口點 結束 -->


    <!-- 認證過濾器 開始 -->
    <beans:bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">
        <beans:property name="authenticationManager" ref="authenticationManager"/>
    </beans:bean>
    <!-- 認證管理器 -->
    <authentication-manager alias="authenticationManager">
        <authentication-provider  ref="casAuthenticationProvider">
        </authentication-provider>
    </authentication-manager>
    <!-- 認證提供者 -->
    <beans:bean id="casAuthenticationProvider"     class="org.springframework.security.cas.authentication.CasAuthenticationProvider">
        <beans:property name="authenticationUserDetailsService">
            <beans:bean class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
                <beans:constructor-arg ref="userDetailsService" />
            </beans:bean>
        </beans:property>
        <!--serviceProperties屬性主要應用於ticketValidator用於去cas服務端檢驗ticket-->
        <beans:property name="serviceProperties" ref="serviceProperties"/>
        <!-- ticketValidator 為票據驗證器 -->
        <beans:property name="ticketValidator">
            <beans:bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
                <!--localhost:8080 為CAS伺服器 -->
                <beans:constructor-arg index="0" value="http://localhost:8080/cas"/>
            </beans:bean>
        </beans:property>
        <beans:property name="key" value="an_id_for_this_auth_provider_only"/>
    </beans:bean>
    <!-- 自定義授權類  其實現SpringSecurity的UserDetailsService介面,但是隻負責授權。密碼認證交給CAS伺服器完成-->
    <!-- 其在CAS認證之後 再執行授權  -->
    <beans:bean id="userDetailsService" class="com.example.nginxtest.UserDetailServiceImpl"/>

    <!-- 認證過濾器 結束 -->


    <!-- 單點登出  開始  -->
    <beans:bean id="singleLogoutFilter" class="org.jasig.cas.client.session.SingleSignOutFilter">
          <!--CAS 3.5 以上版本 需要配以下屬性 -->
          <!--設定cas服務端路徑字首,應用於front channel的登出請求-->
          <!--casServerUrlPrefix  與 cas伺服器的配置檔案相同\WEB-INF\cas.properties-->
          <beans:property name="casServerUrlPrefix" value="https://localhost:8080/cas"></beans:property>
          <beans:property name="ignoreInitConfiguration" value="true"></beans:property>
    </beans:bean>

    <!-- 經過以下配置,當用戶在位址列輸入 本工程+/logout/cas即可登出   -->
    <beans:bean id="requestSingleLogoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter">
        <!--CAS伺服器登出URL   service= 為登出後跳轉URL-->
        <beans:constructor-arg value="http://localhost:8080/cas/logout?service=http://www.baidu.com"/>
        <beans:constructor-arg>
            <beans:bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"/>
        </beans:constructor-arg>
        <!--配置本地工程登出地址  /logout/cas為自定義登出路徑,cas框架自動與requestSingleLogoutFilter中的地址繫結-->
        <beans:property name="filterProcessesUrl" value="/logout/cas"/>
    </beans:bean>
    <!-- 單點登出  結束 -->

</beans:beans>

4 Security角色許可權認證。此處只為測試簡單,真實環境需要注入DAO層查詢許可權。

import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import java.util.ArrayList;
import java.util.List;

public class UserDetailServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println("經過認證類:"+username);

        List<GrantedAuthority> authorities=new ArrayList();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));

        return new User(username,"",authorities);
    }

}

5 NGINX配置

經測試使用瀏覽器通過NGINX訪問兩個配置了CAS登入的不同服務,可以實現SSO。


        location /b {
           proxy_pass  http://192.168.1.55:8787; 
 
           proxy_set_header X-Real-IP $remote_addr; 
           proxy_set_header Host $host;   
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header Cookie $http_cookie;
        }

        location /a {
           proxy_pass  http://192.168.1.55:8788; 
 
           proxy_set_header X-Real-IP $remote_addr; 
           proxy_set_header Host $host;   
           proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
           proxy_set_header Cookie $http_cookie;
        }

7 Security框架取得使用者資訊

  方案一:SecurityContextHolder中獲取

  可以自定義實現UserDetails類

//獲得當前登陸使用者對應的物件
UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext()
    .getAuthentication()
    .getPrincipal();

//獲得當前登陸使用者所擁有的所有許可權
GrantedAuthority[] authorities = userDetails.getAuthorities();

方案二:session中獲取

SecurityContextImpl securityContextImpl = (SecurityContextImpl) request
.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
// 登入名
securityContextImpl.getAuthentication().getName();
// 登入密碼,未加密的
securityContextImpl.getAuthentication().getCredentials();

WebAuthenticationDetails details = (WebAuthenticationDetails) securityContextImpl
.getAuthentication().getDetails();
// 獲得訪問地址
details.getRemoteAddress();
// 獲得sessionid
details.getSessionId();
// 獲得當前使用者所擁有的許可權
List<GrantedAuthority> authorities = (List<GrantedAuthority>) securityContextImpl
.getAuthentication().getAuthorities();
for (GrantedAuthority grantedAuthority : authorities) {
System.out.println("Authority" + grantedAuthority.getAuthority());
}

8 CSRF+AJAX跨站偽造

上邊配置是關閉CSRF。若開啟的話,結合AJAX需要注意。

http://www.cnblogs.com/Joeee/p/7544573.html

https://www.cnblogs.com/zhufu9426/p/7814084.html

https://blog.csdn.net/starrrr2/article/details/50074445

html設定:全域性index頁面設定即可, 不需要每個頁面都寫

<meta name="_csrf" content="${_csrf.token}" />
<meta name="_csrf_header" content="${_csrf.headerName}" />
ajax 請求:

var token = $("meta[name='_csrf']").attr("content");
var header = $("meta[name='_csrf_header']").attr("content");

 $.ajax({
          url: "./deleteRes",
          method: 'post',
          dataType: 'json',
          data: {
            resIds: str,
          },
          beforeSend: function(request) {
            request.setRequestHeader(header, token);
          },
          success: function(resp) {
           }
     });
 

相關推薦

Nginx+Springboot+Security+CAS 整合方案-XML 實現SSO客戶

javaconfig版本: https://www.cnblogs.com/question-sky/p/7068511.html 以下使用的是SpringBoot 2.1.1進行測試 0 Maven引用 <dependency>

springboot+security框架整合

springboot+security框架整合   springboot專案搭建大家可以去請教度娘,有很多文章,這裡主要講解springboot和security安全框架的整合,因為springmvc跟security整合中,大部分都是採用配置檔案的形式,本例中完全沒用配置檔案,配

springboot+springsecurity+cas整合

使用spring security步驟 1、使用@EnableWebSecurity開啟spring security框架, 使用@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled=true,jsr250Enabled

springboot + security +CAS 注意事項

上一篇文章裡的SecurityConfig.java配置檔案初始化的時候會設定cas登陸後的service路徑,如下的serive為“localhost:8080/admin/index.html”,我設定的登陸許可權是"/admin/**",訪問這個url會跳

如何實現客戶或瀏覽器頁面中整合一個類似plsqldeveloper一樣的查詢功能?

轉載:https://ask.csdn.net/questions/703108 qq_16127313  https://gitee.com/00fly/effict-side/tree/master/dbtool-springboot 專案運維過程中,受到客戶機房管理

Android使用XML-RPC實現blog客戶

1.原理介紹 1)XML-RPC介紹XML-RPC的全稱是XML Remote Procedure Call,即XML遠端方法呼叫。原理是XML-RCP工具把傳入的引數組合成XML,然後用通過http

用Spring Security, JWT, Vue實現一個前後分離無狀態認證Demo

簡介 完整程式碼 https://github.com/PuZhiweizuishuai/SpringSecurity-JWT-Vue-Deom 執行展示   後端 主要展示 Spring Security 與 JWT 結合使用構建後端 API 介面。 主要功能包括登陸(如何在 Spring

使用zabbix3.0.4的ICMP Ping模版實現客戶網絡狀態的監控

host -1 ping 修改 cat onf 設置報警 amp 網絡狀態 一、登陸Zabbix服務器做以下操作: 1.fping安裝 wget http://www.fping.org/dist/fping-3.16.tar.gz tar zxvf fping-3.16.

Ubuntu16.04下安裝elasticsearch+kibana實現php客戶的中文分詞

lba 實例 exc common adding creat 啟動服務 uid dbms 1.下載安裝elasticsearch和kibana wget https://artifacts.elastic.co/downloads/elasticsearch/elasti

C# 實現FTP客戶

枚舉 username rect 進行 sco fine pac out puts 本文是利用C# 實現FTP客戶端的小例子,主要實現上傳,下載,刪除等功能,以供學習分享使用。 思路: 通過讀取FTP站點的目錄信息,列出對應的文件及文件夾。 雙擊目錄,則顯示子目錄,如果是

unity_小功能實現客戶相互通信功能)

直接 endpoint 客戶端和服務器端 network hat sockets odi family void 服務器端:在VS中新建項目,用於服務器的搭建 using System;using System.Collections.Generic; using

go語言實現 tcp客戶/服務

tcpl sem close byte cpc cep 實現 lee n) / server.go /package main import ("bufio""fmt""net""time")

go語言實現udp客戶/服務

rom client nic exit nil 客戶 ddr close udp / server.go /package main import ("fmt""net""os") func checkError

Python3+telnetlib實現telnet客戶

encode tcl 之前 編碼 tps 連接失敗 lan cli get 一、程序要點說明 python實現telnet客戶端的六個關鍵問題及其答案是: 使用什麽庫實現telnet客戶端----telnetlib 怎麽連接主機----兩種方法,一種是在實例化時傳入ip地址

python3+paramiko實現ssh客戶

bsp 實例化 ucc rom sys imp 執行命令 self 服務 一、程序說明 ssh客戶端實現主要有以下四個問題: 第一個問題是在python中ssh客戶端使用哪個包實現----我們這裏使用的是paramiko 第二個問題是怎麽連接服務器----連接服務器直接使用

基於Apache-Commons-Pool2實現Grpc客戶連接池

i++ exc fin checked count() tcl 抽象 bdd process 概述 在項目運行過程中,有些操作對系統資源消耗較大,比如建立數據庫連接、建立Redis連接等操作,我們希望一次性創建多個連接對象,並在以後需要使用時能直接使用已創建好的連接,達到提

Python學習筆記1:簡單實現ssh客戶和服務

bsp dev bre 客戶端 break 基於 bin listen 客戶 實現基於python 3.6。 server端: 1 __author__ = "PyDev2018" 2 3 import socket,os 4 server = socket.s

Mybatis之攔截器--獲取執行SQL實現客戶數據同步

gin sign factor 方便 完成後 動態代理 exc batis 包安裝 最近的一個項目是將J2EE環境打包安裝在客戶端(使用 nwjs + NSIS 制作安裝包)運行, 所有的業務操作在客戶端完成, 數據存儲在客戶端數據庫中. 服務器端數據庫匯總各客戶端的數據進

linux網絡編程之用socket實現簡單客戶和服務的通信(基於UDP)

服務端 msg ets lin fgets err n) stderr tcp 單客戶端和服務端的通信(基於UDP) 代碼 服務端代碼socket3.c #include<sys/types.h> #include<sys/socket.h>

python socket 套接字編程 單進程服務器 實現客戶訪問

host port list 不能 ioerror 存儲 utf8 所有 tin 服務器: 1 import socket 2 #單進程服務器 實現多客戶端訪問 IO復用 3 #吧所有的客戶端套接字 放在一個列表裏面,一次又一次的便利過濾 4 #這就是apache