2. 程式人生 > >CAS單點登入原始碼解析之【伺服器端】

CAS單點登入原始碼解析之【伺服器端】

阿新 發佈:2019-02-07

前期準備:

2.應用系統webapp1(http://127.0.0.1:8090/webapp1/main.do) 3.應用系統webapp2(http://127.0.0.1:8091/webapp2/main.do) 4.CAS單點登入伺服器端(http://127.0.0.1:8081/cas-server/)

        本次討論包括CAS單點登入伺服器端的部分原始碼,以及在此基礎上進行二次開發,因此需要修改部分CAS伺服器端的原始碼,原始碼部分的修改在下面進行討論。關於CAS客戶端的原始碼分析,請參考另一篇文章http://blog.csdn.net/dovejing/article/details/44426547
其中cas-server-3.5.2-release.zip為CAS伺服器端的原始碼zip包。

web.xml部分程式碼

<servlet>
    <servlet-name>cas</servlet-name>
    <servlet-class>org.jasig.cas.web.init.SafeDispatcherServlet</servlet-class>
    <init-param>
        <param-name>publishContext</param-name>
        <param-value>false</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>
	
<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/login</url-pattern>
</servlet-mapping>
	
<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/logout</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/validate</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/serviceValidate</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/samlValidate</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/proxy</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/proxyValidate</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/CentralAuthenticationService</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/services/add.html</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/services/viewStatistics.html</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/services/logout.html</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/services/loggedOut.html</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/services/manage.html</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/services/edit.html</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/openid/*</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/services/deleteRegisteredService.html</url-pattern>
</servlet-mapping>
    
<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/services/updateRegisteredServiceEvaluationOrder.html</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/status</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/authorizationFailure.html</url-pattern>
</servlet-mapping>

<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/403.html</url-pattern>
</servlet-mapping>
    
<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/error</url-pattern>
</servlet-mapping>
    
<servlet-mapping>
    <servlet-name>cas</servlet-name>
    <url-pattern>/authcode</url-pattern>
</servlet-mapping>

訪問集成了CAS單點登入的應用系統webapp1

下面講一下CAS單點登入伺服器端的登入流程,流程的配置在/WEB-INF/login-webflow.xml檔案中。

/WEB-INF/login-webflow.xml部分程式碼

<var name="credentials" class="org.jasig.cas.authentication.principal.UsernamePasswordCredentials" />

首先,設定一個變數,用來儲存使用者名稱和密碼資訊。

<on-start>
	<evaluate expression="initialFlowSetupAction" />
</on-start>

整個登入流程從此處開始,流程初始化initialFlowSetupAction的配置資訊在/WEB-INF/cas-servlet.xml中。

/WEB-INF/cas-servlet.xml部分程式碼

<bean id="initialFlowSetupAction" class="org.jasig.cas.web.flow.InitialFlowSetupAction"
		p:argumentExtractors-ref="argumentExtractors"
		p:warnCookieGenerator-ref="warnCookieGenerator"
		p:ticketGrantingTicketCookieGenerator-ref="ticketGrantingTicketCookieGenerator"/>
其中argumentExtractors配置檔案在/WEB-INF/spring-configuration/argumentExtractorsConfiguration.xml中。

/WEB-INF/spring-configuration/argumentExtractorsConfiguration.xml部分程式碼

<bean
	id="casArgumentExtractor"
	class="org.jasig.cas.web.support.CasArgumentExtractor"
	p:httpClient-ref="noRedirectHttpClient"
	p:disableSingleSignOut="${slo.callbacks.disabled:false}" />

<bean id="samlArgumentExtractor" class="org.jasig.cas.web.support.SamlArgumentExtractor"
	p:httpClient-ref="noRedirectHttpClient"
	p:disableSingleSignOut="${slo.callbacks.disabled:false}" />
 	
<util:list id="argumentExtractors">
	<ref bean="casArgumentExtractor" />
	<ref bean="samlArgumentExtractor" />
</util:list>
其中warnCookieGenerator配置檔案在/WEB-INF/spring-configuration/warnCookieGenerator.xml中。

/WEB-INF/spring-configuration/warnCookieGenerator.xml部分程式碼

<bean id="warnCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
	p:cookieSecure="true"
	p:cookieMaxAge="-1"
	p:cookieName="CASPRIVACY"
	p:cookiePath="/cas" />
其中ticketGrantingTicketCookieGenerator配置檔案在/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml中。

/WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml部分程式碼

<bean id="ticketGrantingTicketCookieGenerator" class="org.jasig.cas.web.support.CookieRetrievingCookieGenerator"
	p:cookieSecure="false"
	p:cookieMaxAge="-1"
	p:cookieName="CASTGC"
	p:cookiePath="/cas" />

初始化部分會呼叫InitialFlowSetupAction的doExecute方法,如果有特殊需求,可以在此方法中增加相應的邏輯。如果希望單點登入整合統一身份認證,那麼可以在此處增加統一身份認證的邏輯。關於CAS單點登入與統一身份認證的整合,我會單獨寫一篇。

InitialFlowSetupAction的doExecute方法

protected Event doExecute(final RequestContext context) throws Exception {
	final HttpServletRequest request = WebUtils.getHttpServletRequest(context);
	if (!this.pathPopulated) {
		final String contextPath = context.getExternalContext().getContextPath();
		final String cookiePath = StringUtils.hasText(contextPath) ? contextPath + "/" : "/";
		logger.info("Setting path for cookies to: " + cookiePath);
		this.warnCookieGenerator.setCookiePath(cookiePath);
		this.ticketGrantingTicketCookieGenerator.setCookiePath(cookiePath);
		this.pathPopulated = true;
	}
	//將TGT放在FlowScope作用域中
	context.getFlowScope().put(
		"ticketGrantingTicketId", this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request));
	//將warnCookieValue放在FlowScope作用域中
	context.getFlowScope().put(
		"warnCookieValue", Boolean.valueOf(this.warnCookieGenerator.retrieveCookieValue(request)));
	//獲取service引數
	final Service service = WebUtils.getService(this.argumentExtractors, context);

	if (service != null && logger.isDebugEnabled()) {
		logger.debug("Placing service in FlowScope: " + service.getId());
	}
	//將service放在FlowScope作用域中
	context.getFlowScope().put("service", service);

	return result("success");
}
InitialFlowSetupAction的doExecute要做的就是把ticketGrantingTicketId,warnCookieValue和service放到FlowScope的作用域中,以便在登入流程中的state中進行判斷。初始化完成後,登入流程流轉到第一個state(ticketGrantingTicketExistsCheck)。 
<decision-state id="ticketGrantingTicketExistsCheck">
	<if test="flowScope.ticketGrantingTicketId != null" then="hasServiceCheck" else="gatewayRequestCheck" />
</decision-state>
當我們第一次訪問集成了CAS單點登入的應用系統webapp1時(http://127.0.0.1:8090/webapp1/main.do),此時應用系統會跳轉到CAS單點登入的伺服器端(http://127.0.0.1:8081/cas-server/login?service=http://127.0.0.1:8090/webapp1/main.do)。此時,request的cookies中不存在CASTGC(TGT),因此FlowScope作用域中的ticketGrantingTicketId為null,登入流程流轉到第二個state(gatewayRequestCheck)。 
<decision-state id="gatewayRequestCheck">
	<if test="requestParameters.gateway != '' and requestParameters.gateway != null and flowScope.service != null" 
		then="gatewayServicesManagementCheck" else="serviceAuthorizationCheck" />
</decision-state>
因為初始化時,儘管把service儲存在了FlowScope作用域中,但request中的引數gateway不存在,登入流程流轉到第三個state(serviceAuthorizationCheck)。 
<action-state id="serviceAuthorizationCheck">
	<evaluate expression="serviceAuthorizationCheck"/>
	<transition to="generateLoginTicket"/>
</action-state>

ServiceAuthorizationCheck的doExecute方法

protected Event doExecute(final RequestContext context) throws Exception {
	final Service service = WebUtils.getService(context);
	//No service == plain /login request. Return success indicating transition to the login form
	if(service == null) {
		return success();
	}
	final RegisteredService registeredService = this.servicesManager.findServiceBy(service);

	if (registeredService == null) {
		logger.warn("Unauthorized Service Access for Service: [ {} ] - service is not defined in the service registry.", service.getId());
		throw new UnauthorizedServiceException();
	}
	else if (!registeredService.isEnabled()) {
		logger.warn("Unauthorized Service Access for Service: [ {} ] - service is not enabled in the service registry.", service.getId());
		throw new UnauthorizedServiceException();
	}

	return success();
}
ServiceAuthorizationCheck的doExecute方法,要做的就是判斷FlowScope作用域中是否存在service,如果service存在,查詢service的註冊資訊。登入流程流轉到第四個state(generateLoginTicket)。 
<action-state id="generateLoginTicket">
	<evaluate expression="generateLoginTicketAction.generate(flowRequestContext)" />
	<transition on="generated" to="viewLoginForm" />
</action-state>
/WEB-INF/cas-servlet.xml部分程式碼
<bean id="generateLoginTicketAction" class="org.jasig.cas.web.flow.GenerateLoginTicketAction"
	p:ticketIdGenerator-ref="loginTicketUniqueIdGenerator" />
/WEB-INF/spring-configuration/uniqueIdGenerators.xml部分程式碼
<bean id="loginTicketUniqueIdGenerator" class="org.jasig.cas.util.DefaultUniqueTicketIdGenerator">
	<constructor-arg
		index="0"
		type="int"
		value="30" />
</bean>

DefaultUniqueTicketIdGenerator要做的就是生成以LT作為字首的loginTicket(例:LT-2-pfDmbEHfX2OkS0swLtDd7iDwmzlhsn)。注:LT只作為登入時使用的票據。

GenerateLoginTicketAction的generate方法

public final String generate(final RequestContext context) {
	//LT-2-pfDmbEHfX2OkS0swLtDd7iDwmzlhsn
	final String loginTicket = this.ticketIdGenerator.getNewTicketId(PREFIX);//生成loginTicket
	this.logger.debug("Generated login ticket " + loginTicket);
	WebUtils.putLoginTicket(context, loginTicket);//放到flowScope中
	return "generated";
}
GenerateLoginTicketAction的generate要做的就是生成loginTicket,並且把loginTicket放到FlowScope作用域中。登入流程流轉到第五個state(viewLoginForm)。
<view-state id="viewLoginForm" view="casLoginView" model="credentials">
	<binder>
		<binding property="username" />
		<binding property="password" />
	</binder>
	<on-entry>
		<set name="viewScope.commandName" value="'credentials'" />
	</on-entry>
        
	<transition on="submit" bind="true" validate="true" to="realSubmit">
		<evaluate expression="authenticationViaFormAction.doBind(flowRequestContext, flowScope.credentials)" />
	</transition>
</view-state>

        至此,經過五個state的流轉,我們完成了第一次訪問集成了單點登入的應用系統,此時流轉到CAS單點登入伺服器端的登入頁面/WEB-INF/jsp/ui/default/casLoginView.jsp。由於casLoginView.jsp是CAS提供的預設登入頁面,需要把此頁面修改成我們系統需要的登入頁面,格式需要參考casLoginView.jsp。

注意,預設的登入頁面中有lt、execution和_eventId三個隱藏引數,lt引數值就是在GenerateLoginTicketAction的generate方法中生成的loginTicket。

<input type="hidden" name="lt" value="${loginTicket}" />
<input type="hidden" name="execution" value="${flowExecutionKey}" />
<input type="hidden" name="_eventId" value="submit" />

下面說一下CAS單點登入伺服器端的登入驗證

當輸入使用者名稱和密碼,點選登入按鈕時,會執行AuthenticationViaFormAction的doBind方法。

<bean id="authenticationViaFormAction" class="org.jasig.cas.web.flow.AuthenticationViaFormAction"
	p:centralAuthenticationService-ref="centralAuthenticationService"
	p:warnCookieGenerator-ref="warnCookieGenerator" />

AuthenticationViaFormAction的doBind方法

public final void doBind(final RequestContext context, final Credentials credentials) throws Exception {
	final HttpServletRequest request = WebUtils.getHttpServletRequest(context);
	//bean中沒有注入,這裡什麼也不做
	if (this.credentialsBinder != null && this.credentialsBinder.supports(credentials.getClass())) {
		this.credentialsBinder.bind(request, credentials);
	}
}
登入流程流轉到第一個state(realSubmit),會執行AuthenticationViaFormAction的submit方法。
<action-state id="realSubmit">
	<evaluate expression="authenticationViaFormAction.submit(flowRequestContext, flowScope.credentials, messageContext)" />
	<transition on="warn" to="warn" /><!-- 警告,轉向其他站點前提示我 -->
	<transition on="success" to="sendTicketGrantingTicket" /><!-- 成功 -->
	<transition on="error" to="generateLoginTicket" /><!-- 錯誤 -->
	<transition on="accountDisabled" to="casAccountDisabledView" />
	<transition on="mustChangePassword" to="casMustChangePassView" />
	<transition on="accountLocked" to="casAccountLockedView" />
	<transition on="badHours" to="casBadHoursView" />
	<transition on="badWorkstation" to="casBadWorkstationView" />
	<transition on="passwordExpired" to="casExpiredPassView" />
</action-state>

AuthenticationViaFormAction的submit方法

public final String submit(final RequestContext context, final Credentials credentials, final MessageContext messageContext) 
	throws Exception {
	// Validate login ticket
	final String authoritativeLoginTicket = WebUtils.getLoginTicketFromFlowScope(context);
	final String providedLoginTicket = WebUtils.getLoginTicketFromRequest(context);
	//判斷FlowScope和request中的loginTicket是否相同
	if (!authoritativeLoginTicket.equals(providedLoginTicket)) {
		this.logger.warn("Invalid login ticket " + providedLoginTicket);
		final String code = "INVALID_TICKET";
		messageContext.addMessage(new MessageBuilder().error().code(code).arg(providedLoginTicket).defaultText(code).build());
		return "error";
	}
	//requestScope和FlowScope中獲取TGT
	final String ticketGrantingTicketId = WebUtils.getTicketGrantingTicketId(context);
	//FlowScope中獲取service
	final Service service = WebUtils.getService(context);
	if (StringUtils.hasText(context.getRequestParameters().get("renew")) 
			&& ticketGrantingTicketId != null && service != null) {

		try {
			final String serviceTicketId = this.centralAuthenticationService.grantServiceTicket(
				ticketGrantingTicketId, service, credentials);
			WebUtils.putServiceTicketInRequestScope(context, serviceTicketId);
			putWarnCookieIfRequestParameterPresent(context);
			return "warn";
		} catch (final TicketException e) {
			if (isCauseAuthenticationException(e)) {
				populateErrorsInstance(e, messageContext);
				return getAuthenticationExceptionEventId(e);
			}
                
			this.centralAuthenticationService.destroyTicketGrantingTicket(ticketGrantingTicketId);
			if (logger.isDebugEnabled()) {
				logger.debug("Attempted to generate a ServiceTicket using renew=true with different credentials", e);
			}
		}
	}

	try {
		//根據使用者憑證構造TGT,把TGT放到requestScope中,同時把TGT快取到伺服器的cache<ticketId,TGT>中
		WebUtils.putTicketGrantingTicketInRequestScope(context, 
			this.centralAuthenticationService.createTicketGrantingTicket(credentials));
		putWarnCookieIfRequestParameterPresent(context);
		return "success";
	} catch (final TicketException e) {
		populateErrorsInstance(e, messageContext);
		if (isCauseAuthenticationException(e))
			return getAuthenticationExceptionEventId(e);
		return "error";
	}
}
AuthenticationViaFormAction的submit要做的就是判斷FlowScope和request中的loginTicket是否相同。如果不同跳轉到錯誤頁面,如果相同,則根據使用者憑證生成TGT(登入成功票據),並放到requestScope作用域中,同時把TGT快取到伺服器的cache<ticketId,TGT>中。登入流程流轉到第二個state(sendTicketGrantingTicket)。

既然是登入,那麼可以在此方法中加入自己的業務邏輯,比如,可以加入驗證碼的判斷,以及錯誤資訊的提示,使用者名稱或者密碼錯誤,驗證碼錯誤等邏輯判斷。

<action-state id="sendTicketGrantingTicket">
	<evaluate expression="sendTicketGrantingTicketAction" />
	<transition to="serviceCheck" />
</action-state>

SendTicketGrantingTicketAction的doExecute方法

protected Event doExecute(final RequestContext context) {
	//requestScope和FlowScope中獲取TGT
	final String ticketGrantingTicketId = WebUtils.getTicketGrantingTicketId(context); 
	final String ticketGrantingTicketValueFromCookie = (String) context.getFlowScope().get("ticketGrantingTicketId");
        
	if (ticketGrantingTicketId == null) {
		return success();
	}
	//response中新增TGC
	this.ticketGrantingTicketCookieGenerator.addCookie(WebUtils.getHttpServletRequest(context), WebUtils
		.getHttpServletResponse(context), ticketGrantingTicketId);

	if (ticketGrantingTicketValueFromCookie != null && !ticketGrantingTicketId.equals(ticketGrantingTicketValueFromCookie)) {
		this.centralAuthenticationService
			.destroyTicketGrantingTicket(ticketGrantingTicketValueFromCookie);
	}

	return success();
}

SendTicketGrantingTicketAction的doExecute要做的是獲取TGT,並根據TGT生成cookie新增到response。登入流程流轉到第三個state(serviceCheck)。

<decision-state id="serviceCheck">
	<if test="flowScope.service != null" then="generateServiceTicket" else="viewGenericLoginSuccess" />
</decision-state>

由於此時FlowScope中存在service(http://127.0.0.1:8081/cas-server/login?service=http://127.0.0.1:8090/webapp1/main.do),登入流程流轉到第四個state(generateServiceTicket)。

<action-state id="generateServiceTicket">
	<evaluate expression="generateServiceTicketAction" />
	<transition on="success" to ="warn" />
	<transition on="error" to="generateLoginTicket" />
	<transition on="gateway" to="gatewayServicesManagementCheck" />
</action-state>

GenerateServiceTicketAction的doExecute方法

protected Event doExecute(final RequestContext context) {
	//獲取service
	final Service service = WebUtils.getService(context);
	//獲取TGT
	final String ticketGrantingTicket = WebUtils.getTicketGrantingTicketId(context);

	try {
		//根據TGT和service生成service ticket(ST-2-97kwhcdrBW97ynpBbZH5-cas01.example.org)
		final String serviceTicketId = this.centralAuthenticationService.grantServiceTicket(ticketGrantingTicket,
			service);
		//ST放到requestScope中
		WebUtils.putServiceTicketInRequestScope(context, serviceTicketId);
		return success();
	} catch (final TicketException e) {
		if (isGatewayPresent(context)) {
			return result("gateway");
		}
	}

	return error();
}
GenerateServiceTicketAction的doExecute要做的是獲取service和TGT,並根據service和TGT生成以ST為字首的serviceTicket(例:ST-2-97kwhcdrBW97ynpBbZH5-cas01.example.org),並把serviceTicket放到requestScope中。登入流程流轉到第五個state(warn)。
<decision-state id="warn">
	<if test="flowScope.warnCookieValue" then="showWarningView" else="redirect" />
</decision-state>
由於此時FlowScope中不存在warnCookieValue,登入流程流轉到第六個state(redirect)。 
<action-state id="redirect">
	<evaluate expression="flowScope.service.getResponse(requestScope.serviceTicketId)" 
		result-type="org.jasig.cas.authentication.principal.Response" result="requestScope.response" />
	<transition to="postRedirectDecision" />
</action-state>
從requestScope中獲取serviceTicket,構造response物件,並把response放到requestScope中。登入流程流轉到第七個state(postRedirectDecision)。
<decision-state id="postRedirectDecision">
	<if test="requestScope.response.responseType.name() == 'POST'" then="postView" else="redirectView" />
</decision-state>
由於request請求(http://127.0.0.1:8081/cas-server/login?service=http://127.0.0.1:8090/webapp1/main.do)是get型別,登入流程流轉到第八個state(redirectView)。
<end-state id="redirectView" view="externalRedirect:${requestScope.response.url}" />

此時流程如下:

  1. 跳轉到應用系統(http://127.0.0.1:8090/webapp1/main.do?ticket=ST-1-4hH2s5tzsMGCcToDvGCb-cas01.example.org)。
  2. 進入CAS客戶端的AuthenticationFilter過濾器,由於session中獲取名為“_const_cas_assertion_”的assertion物件不存在,但是request有ticket引數,所以進入到下一個過濾器。
  3. TicketValidationFilter過濾器的validate方法通過httpClient訪問CAS伺服器端(http://127.0.0.1:8081/cas-server/serviceValidate?ticket=ST-1-4hH2s5tzsMGCcToDvGCb-cas01.example.org&service=http://127.0.0.1:8090/webapp1/main.do)驗證ticket是否正確,並返回assertion物件。
Assertion物件格式類似於 
<cas:serviceResponse xmlns:cas='http://www.yale.edu/tp/cas'>
	<cas:authenticationSuccess>
		<cas:user>system</cas:user>

	</cas:authenticationSuccess>
</cas:serviceResponse>

訪問集成了CAS單點登入的應用系統webapp2

當我們第一次訪問集成了CAS單點登入的應用系統webapp2時(http://127.0.0.1:8091/webapp2/main.do),此時應用系統會跳轉到CAS單點登入的伺服器端(http://127.0.0.1:8081/cas-server/login?service=http://127.0.0.1:8091/webapp2/main.do)。

InitialFlowSetupAction的doExecute初始化完成後,登入流程流轉到第一個state(ticketGrantingTicketExistsCheck)。

<decision-state id="ticketGrantingTicketExistsCheck">
	<if test="flowScope.ticketGrantingTicketId != null" then="hasServiceCheck" else="gatewayRequestCheck" />
</decision-state>
因為應用系統webapp1已經成功登入,所以request的cookies中存在TGT,並儲存到FlowScope中,登入流程流轉到第二個state(hasServiceCheck)。
<decision-state id="hasServiceCheck">
	<if test="flowScope.service != null" then="renewRequestCheck" else="viewGenericLoginSuccess" />
</decision-state>
FlowScope中存在service,登入流程流轉到第三個state(renewRequestCheck)。 
<decision-state id="renewRequestCheck">
	<if test="requestParameters.renew != '' and requestParameters.renew != null" 
		then="serviceAuthorizationCheck" else="generateServiceTicket" />
</decision-state>

request中不存在renew,登入流程流轉到第四個state(generateServiceTicket)。

<action-state id="generateServiceTicket">
	<evaluate expression="generateServiceTicketAction" />
	<transition on="success" to ="warn" />
	<transition on="error" to="generateLoginTicket" />
	<transition on="gateway" to="gatewayServicesManagementCheck" />
</action-state>

後續的流轉與應用系統webapp1相同,請參考前面webapp1的流轉。

相關推薦

CAS登入原始碼解析伺服器

前期準備: 2.應用系統webapp1(http://127.0.0.1:8090/webapp1/main.do) 3.應用系統webapp2(http://127.0.0.1:8091/webapp2/main.do) 4.CAS單點登入伺服器端(http://127

1、[置頂] CAS登入原始碼解析客戶

前期準備: 2.cas-client-3.2.1-release.zip 3.應用系統webapp(http://127.0.0.1:8090/webapp/main.do) 4.CAS單點登入伺服器端(http://127.0.0.1:8081/cas-server/)        

CAS登入原理解析

1、基於Cookie的單點登入的回顧        基於Cookie的單點登入核心原理:       將使用者名稱密碼加密之後存於Cookie中,之後訪問網站時在過濾器(filter)中校驗使用者許可權,如果沒有許可權

jasig cas登入配置筆記

以上配置完成後還有一點問題,就是cas client的配置完成後,登入A應用,然後登入B應用,需要重新認證. 仔細閱讀文件,發現原來jasig Cas不能支援非SSL方式的統一登入.實際上登入首頁上已經提示: Non-secure Connection You ar

SSO CAS登入搭建詳細步驟及原始碼

1.因為是本地模擬sso環境,而sso的環境測試需要域名,所以需要虛擬幾個域名出來,步驟如下: 2.進入目錄C:\Windows\System32\drivers\etc 3.修改hosts檔案 127.0.0.1  jeesz.cn 127.0.0.1  sso1.

SSO CAS登入框架學習 搭建詳細步驟及原始碼

1.瞭解單點登入  SSO 主要特點是: SSO 應用之間使用 Web 協議(如 HTTPS) ,並且只有一個登入入口. SSO 的體系中有下面三種角色: 1) User(多個) 2) Web 應用(多個) 3) SSO 認證中心(一個)  2.SSO 實現包

登入終極方案 CAS 應用及原理

Cookie的單點登入的實現方式很簡單,但是也問題頗多。例如:使用者名稱密碼不停傳送,增加了被盜號的可能。另外,不能跨域! 1、基於Cookie的單點登入的回顧 基於Cookie的單點登入核心原理: 將使用者名稱密碼加密之後存於Cookie中,之後訪問網站時

CAS登入HelloWorld

本章將介紹一下CAS如何部署一個CAS應用 系統要求: 開始 一 、使用模版構建 cas在github上提供了官網的模版,可以進行快速構建以及版本的切換升級。 github上克隆映象 預設情況下

CAS登入生成證書

建立證書 證書是單點登入認證系統中很重要的一把鑰匙,客戶端於伺服器的互動安全靠的就是證書;由於是個人學習測試所以就直接用JDK自帶的keytool工具生成證書;如果以後真正在產品環境中使用肯定要去證書提供商去購買,證書認證一般都是由VeriSign認證,中文官方網站:http://www.ver

SSOCAS登入詳細搭建教程

<!-- 用於單點退出,該過濾器用於實現單點登出功能,可選配置--> <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener

CAS框架登入原理解析

單點登入:Single Sign On,簡稱SSO,SSO使得在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。 CAS框架:CAS(Central Authentication Service)是實現SSO單點登入的框架。 CSA

SSOCAS登入部署

專案之前用到單點登入,之前都是網上找了一些資料然後就用上了,中間也遇到了一些問題,這裡總結一下,畢竟以後還是可能再用到這東西的。 這裡摘抄下有關基本概念幫助後面理解CAS的實現 1.基本概念:cookie,session,會話cookie,jssessi

SSOCAS登入例項演示

本文目錄: 一、概述 二、演示環境 三、JDK安裝配置 四、安全證書配置 五、部署CAS-Server相關的Tomcat 六、部署CAS-Client相關的Tomcat 七、 測試驗證SSO 一、概述 此文的目的就是為了幫助初步接觸S

CAS登入系列極速入門於實戰教程(4.2.7)

@目錄一、 SSO簡介1.1 單點登入定義1.2 單點登入角色1.3 單點登入分類二、 CAS簡介2.1 CAS簡單定義2.2 CAS體系結構2.3 CAS原理三、CAS服務端搭建3.1 CAS支援Http登入配置3.2 CAS服務端部署執行四、CAS客戶端接入五、客戶端極速接入 一、 SSO簡介 1.1 單

CAS登入系列極速入門與實戰教程(4.2.7)

@目錄一、 SSO簡介1.1 單點登入定義1.2 單點登入角色1.3 單點登入分類二、 CAS簡介2.1 CAS簡單定義2.2 CAS體系結構2.3 CAS原理三、CAS服務端搭建3.1 CAS支援Http登入配置3.2 CAS服務端部署執行四、CAS客戶端接入五、客戶端極速接入 一、 SSO簡介 1.1 單

CAS統一登入認證(16): openedx 通過oauth2.0接入cas登入

openedx 是流行的開源mooc(慕課)平臺,我這安裝的是edx-ginkgo.2-7版本,cas是5.3.2 這個接入頗費了一番周折,總是設定不成功,因為沒有可以直接參考的案例,只有edx的官方站點有些說明,但都是針對google,facebook,github等賬號的第三方oauth2.

CAS登入-介紹(一)

CAS單點登入-介紹(一) 由於之前工作需要都是對接現成的單點登陸服務,基於自己興趣目前正在研究CAS單點登陸原理和搭建以及不同的應用場景對接方式。特此來記錄學習的過程以及分享,希望能幫助大家。 1.CAS是什麼? CAS是Central Authenticat

cas 登入(一)

對接單點登入不是這個端退出不了,就是使用者賬號實現多模組切換,甚是煩惱   1、cas服務端:下載地址:http://downloads.jasig.org/cas/,cas的服務端和客戶端有許多版本,最新版本和老版本 有很大的區別,目前服務端最新版本為:cas-server-

spring boot + mybatis + shiro + cas 登入

該專案是在shiro(三)的基礎上進行修改的,建議首先將shiro的部分了解一下。 CAS的知識點: 單點登入:簡稱SSO,SSO使得在多個應用系統中,使用者只需要登入一次就可以訪問所有互相信任的應用系統 CAS框架:CAS是實現單點登入的框架。 結構:cas分為兩個部分,CAS S

CAS登入-簡介

介紹 CAS CAS是一個單點登入框架, 是 Yale 大學發起的一個開源專案,旨在為 Web 應用系統提供一種可靠的單點登入方法,CAS 在 2004 年 12 月正式成為 JA-SIG 的一個專案。程式碼目前在github上管理 SSO 單點登入,英文全稱:Single Sign On(SSO)