备案控制台
探索云世界
开发者社区 开发与运维 文章 正文

JAVA CAS单点登录之三:CAS代理模式演练

2016-05-25 4489
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介:
原创作品,允许转载,转载时请务必以超链接形式标明文章  原始出处 、作者信息和本声明。否则将追究法律责任。 http://dba10g.blog.51cto.com/764602/1753244


前言

 JAVA CAS单点登录之一:搭建CAS服务器    

JAVA CAS单点登录之二:CAS普通模式1演练    

代理模式相相对上一节的普通模式,更加复杂了。但配置起来也会稍微有些差别。所谓难者不会,会者不难。如果遇到一个从来没有遇到的问题,解决起来也是非常棘手的,当然解决之后就不是事了。我就遇到了一个CAS 坑爹的错误。一步步按照别人的博客坐下来,普通模式部署没有多大问题,就是不知道为什么代理模式总是出错,搜遍了整个网络,也没找到问题所在,我就纳闷了,为什么就没有人 遇到过呢。还好,最后我使用了杀手锏,部署源码一步步跟踪找到了问题所在。

主要内容

搭建一整套环境.包括(cas-server ,cas proxy client,cas back-end app client)

一共三个Web应用。

具体参数  

涉及的所有参数都在我的实体机(WIN7)完成的。分别按照了3个TOMCAT服务端。

  • Tomcat6.0.36

  • JDK7

  • CAS Server版本:cas-server-3.5.3

  • CAS Client版本:cas-client-3.1.1

Cas Server
 8888,443
 配置见 JAVA CAS单点登录之一
Cas Proxy Client
 8080
 改造JAVA CAS单点登录之二的mywebapp1,改名为proxyClient
Cas Back-end Service Client
 8070

改造JAVA CAS单点登录之二的

mywebapp2 


域名映射(C:\Windows\System32\drivers\etc\hosts)

1
2
127.0.0.1 hellocas1.com
127.0.0.1 hellocas2.com

主机名

zhaoguoyu-pc

操作步骤

  1. 修改cas Server端支持代理功能。

    就是这一步在其他文章中根本没有提到,我不知道是版本问题,还是什么问题。如果不配置,访问后台应用时会报 service.not.authorized.proxy异常。

1.1 修改 deployerConfigContext.xml文件支持代理

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
< bean
    id = "serviceRegistryDao"
        class = "org.jasig.cas.services.InMemoryServiceRegistryDaoImpl" >
            < property  name = "registeredServices" >
                < list >
                    < bean  class = "org.jasig.cas.services.RegexRegisteredService" >
                        < property  name = "id"  value = "0"  />
                        < property  name = "name"  value = "HTTP and IMAP"  />
                        < property  name = "description"  value = "Allows HTTP(S) and IMAP(S) protocols"  />
                        < property  name = "serviceId"  value = "^(https?|imaps?)://.*"  />
                        < property  name = "evaluationOrder"  value = "10000001"  />
                        < property  name = "allowedToProxy"  value = "true" />
                    </ bean >
                    <!--
                    Use the following definition instead of the above to further restrict access
                    to services within your domain (including subdomains).
                    Note that example.com must be replaced with the domain you wish to permit.
                    -->
                    <!--
                    <bean class="org.jasig.cas.services.RegexRegisteredService">
                        <property name="id" value="1" />
                        <property name="name" value="HTTP and IMAP on example.com" />
                        <property name="description" value="Allows HTTP(S) and IMAP(S) protocols on example.com" />
                        <property name="serviceId" value="^(https?|imaps?)://([A-Za-z0-9_-]+\.)*example\.com/.*" />
                        <property name="evaluationOrder" value="0" />
                    </bean>
                    -->
                </ list >
            </ property >
        </ bean >

        就是添加 这个属性标签,

1
< property  name = "allowedToProxy"  value = "true" />

我就是坑在这里了,坑了近3个晚上。,苦逼啊。现在回想起来真的太傻了。如果没这个插曲,我想CAS我可能又走马观花研究一两个晚上而已,正是这个插曲,燃起了我的斗志,所以也干脆写一个系列吧。


1.2 为了演练方便,修改 deployerConfigContext.xml文件,不需要安全请求。

1
2
3
< bean  class = "org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler"
   
p:httpClient-ref = "httpClient"  p:requireSecure = "false" />

就是添加这个属性

1
p:requireSecure="false"

通过上面2步的配置,CAS服务增加了代理,同时也支持普通连接访问了。


2.配置代理服务

在上一节的基础上,改造原来的web.xml,作为代理使用。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
<? xml  version = "1.0"  encoding = "UTF-8" ?>
< web-app  id = "mywebapp"  version = "2.4"  xmlns = "http://java.sun.com/xml/ns/j2ee"  xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance"  xsi:schemaLocation = "http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" >
 
   < display-name >mywebapp</ display-name >
 
   <!-- Sign out not yet implemented -->
   <!--
       <filter>
           <filter-name>CAS Single Sign Out Filter</filter-name>
           <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
       </filter>
   -->
 
   < filter >
     < filter-name >CAS Authentication Filter</ filter-name >
     < filter-class >org.jasig.cas.client.authentication.AuthenticationFilter</ filter-class >
     < init-param >
       < param-name >casServerLoginUrl</ param-name >
       < param-value >https://zhaoguoyu-pc/cas/login</ param-value >
     </ init-param >
     < init-param >
       < param-name >serverName</ param-name >
       < param-value >http://zhaoguoyu-pc:8080</ param-value >
     </ init-param >
     < init-param >
       < param-name >renew</ param-name >
       < param-value >false</ param-value >
     </ init-param >
     < init-param >
       < param-name >gateway</ param-name >
       < param-value >false</ param-value >
     </ init-param >
   </ filter >
 
   < filter >
     < filter-name >CAS Validation Filter</ filter-name >
     < filter-class >org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</ filter-class >
     < init-param >
       < param-name >casServerUrlPrefix</ param-name >
       < param-value >https://zhaoguoyu-pc/cas/</ param-value >
     </ init-param >
     < init-param >
       < param-name >serverName</ param-name >
       < param-value >http://zhaoguoyu-pc:8080</ param-value >
     </ init-param >
 
     < init-param >
         < param-name >proxyCallbackUrl</ param-name >
         < param-value >http://zhaoguoyu-pc:8080/mywebapp/proxyCallback</ param-value >
     </ init-param >
     < init-param >
         < param-name >proxyReceptorUrl</ param-name >
         < param-value >/proxyCallback</ param-value >
     </ init-param >
 
   </ filter >
 
   < filter >
     < filter-name >CAS HttpServletRequest Wrapper Filter</ filter-name >
     < filter-class >org.jasig.cas.client.util.HttpServletRequestWrapperFilter</ filter-class >
   </ filter >
 
   < filter >
     < filter-name >CAS Assertion Thread Local Filter</ filter-name >
     < filter-class >org.jasig.cas.client.util.AssertionThreadLocalFilter</ filter-class >
   </ filter >
 
   <!-- ************************* -->
 
   <!-- Sign out not yet implemented -->
   <!--
       <filter-mapping>
           <filter-name>CAS Single Sign Out Filter</filter-name>
           <url-pattern>/*</url-pattern>
       </filter-mapping>
   -->
   < filter-mapping >
     < filter-name >CAS Validation Filter</ filter-name >
     < url-pattern >/proxyCallback</ url-pattern >
   </ filter-mapping >
 
   < filter-mapping >
     < filter-name >CAS Authentication Filter</ filter-name >
     < url-pattern >/protected/*</ url-pattern >
   </ filter-mapping >
 
   < filter-mapping >
     < filter-name >CAS Validation Filter</ filter-name >
     < url-pattern >/*</ url-pattern >
   </ filter-mapping >
 
   < filter-mapping >
     < filter-name >CAS HttpServletRequest Wrapper Filter</ filter-name >
     < url-pattern >/*</ url-pattern >
   </ filter-mapping >
 
   < filter-mapping >
     < filter-name >CAS Assertion Thread Local Filter</ filter-name >
     < url-pattern >/*</ url-pattern >
   </ filter-mapping >
 
 
 
   <!--  *********************** -->
 
   <!-- Sign out not yet implemented -->
   <!--
       <listener>
           <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
       </listener>
   -->
 
   <!--  *********************** -->
 
   < welcome-file-list >
     < welcome-file >index.jsp</ welcome-file >
   </ welcome-file-list >
 
</ web-app >

修改的内容如下

1.为Cas20ProxyReceivingTicketValidationFilter增加2个配置元素

    <init-param>
        <param-name>proxyCallbackUrl</param-name>
        <param-value>http://zhaoguoyu-pc:8080/proxyClient/proxyCallback</param-value>
    </init-param>
    <init-param>
        <param-name>proxyReceptorUrl</param-name>
        <param-value>/proxyCallback</param-value>
    </init-param>

2.增加映射URL(注意顺序),一定要在其他filter的前面

1
2
3
4
   < filter-mapping >
     < filter-name >CAS Validation Filter</ filter-name >
     < url-pattern >/proxyCallback</ url-pattern >
   </ filter-mapping >


到这儿,可以作为一个普通服务可以作为代理使用了。

3.复制改名另外一个普通应用,作为后台应用(back-end service)

修改web.xml

   

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
  < filter >
         < filter-name >CAS Validation Filter</ filter-name >
         < filter-class >org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</ filter-class >
         < init-param >
             < param-name >casServerUrlPrefix</ param-name >
             < param-value >https://zhaoguoyu-pc/cas/</ param-value >
         </ init-param >
         < init-param >
             < param-name >serverName</ param-name >
             < param-value >http://hellocas2.com:8070</ param-value >
         </ init-param >
         < init-param >
             < param-name >acceptAnyProxy</ param-name >
             < param-value >true</ param-value >
         </ init-param >    
     < init-param
         < param-name >redirectAfterValidation</ param-name >
         < param-value >false</ param-value >
     </ init-param >    
     </ filter >

添加了acceptAnyProxy 和redirectAfterValidation参数。支持接收代理


4.在proxy 应用下添加测试的Servlet

ProxyTestServlet HttpServlet {
    doPost(HttpServletRequest request, HttpServletResponse response) ServletException, IOException {
        String serviceUrl = "http://hellocas2.com:8070/mywebapp2/protected/";
        Assertion assertion = AssertionHolder.();
        String proxyTicket = assertion.getPrincipal().getProxyTicketFor(serviceUrl);
        URL url = URL(serviceUrl + + proxyTicket);
        HttpURLConnection conn = ;
        {
            conn = (HttpURLConnection) url.openConnection();
            responseCode = conn.getResponseCode();
            String responseMessage = conn.getResponseMessage();
            System..println(+responseCode);
            System..println();
            System..println();
            System..println(responseMessage);
        } (Exception ex) {
            ex.printStackTrace();
        } {
            (conn != ) {
                conn.disconnect();
            }
        }
    }

    doGet(HttpServletRequest request, HttpServletResponse response) ServletException, IOException {
        doPost(request, response);
    }
}

5.测试验证

前提:分别启动CAS-server,Cas-proxy,Cas-backend client

5.1 输入地址,http://zhaoguoyu-pc:8080/proxyClient。

5.2 输入用户名和密码

5.3 访问servlet

http://zhaoguoyu-pc:8080/proxyClient/proxyTestServlet

经过确认,反悔代码为200,和OK。表示测试通过。


如果想详细链接关于代理模式的原理,请参考

http://my.oschina.net/ichatter/blog/129642

http://blog.csdn.net/emon123/article/details/6285549

http://www.blogjava.net/security/archive/2006/04/26/SSO_CASProxy.html

http://www.myexception.cn/software-architecture-design/644728.html

http://init-life.com/web/2014/11/12/cas-workflows/

http://www.mytju.com/classcode/news_readNews.asp?newsID=503

https://wiki.jasig.org/display/CASC/CAS+Client+for+Java+3.1。


部署期间,我遇到这个坑爹的异常

<cas:serviceResponse xmlns:cas='http://www.yale.edu/tp/cas'>

    <cas:authenticationFailure code='service.not.authorized.proxy'>

        service.not.authorized.proxy

    </cas:authenticationFailure>

</cas:serviceResponse>

This is because proxy authn is turned off by default. Set the proxy flag in 
your service registry and off it goes.

感觉哪儿少配了个参数,硬是搜遍了大量博客,竟然没找到。最后自己看源码,一步步跟踪出来的。

本文出自 “简单” 博客,请务必保留此出处http://dba10g.blog.51cto.com/764602/1753244

文章标签:
Java
数据格式
XML
关键词:
Java代理模式
Java演练
Java cas
Java单点登录
Java cas单点登录
shy丶gril
目录
相关文章
小万哥丶
|
1月前
|
Java 程序员
Java 异常处理与正则表达式详解,实例演练及最佳实践
在 Java 代码执行期间,可能会发生各种错误,包括程序员编码错误、用户输入错误以及其他不可预料的状况。 当错误发生时,Java 通常会停止并生成错误消息,这个过程称为抛出异常。 try...catch 语句 try 语句允许您定义一段代码块,并在其中测试是否发生错误。 catch 语句允许您定义一段代码块,当 try 块中发生错误时执行该代码块。 try 和 catch 关键字成对使用,语法如下:
小万哥丶
42 0
程序猿~厾罗
|
3月前
|
传感器 自动驾驶 算法
JAVA实战演练之自动驾驶系统
JAVA实战演练之自动驾驶系统
程序猿~厾罗
86 0
Sereinn
|
1月前
|
设计模式 Java 数据库连接
【重温设计模式】代理模式及其Java示例
【重温设计模式】代理模式及其Java示例
Sereinn
23 2
肖宜
|
1月前
|
Java API 开发者
Java代理模式——静态代理与动态代理
Java代理模式——静态代理与动态代理
肖宜
26 1
默不会开发
|
5月前
|
缓存 安全 Java
Java20个主要开发模式之(代理模式)
Java20个主要开发模式之(代理模式)
默不会开发
48 0
wenxinx
|
3月前
|
设计模式 Java
Java中的静态代理模式实现
静态代理是一种常见的设计模式,它可以在不改变原有类结构的情况下对其进行功能扩展。本文将介绍Java中的静态代理实现方式以及使用场景。
wenxinx
14 0
归思君
|
3月前
|
设计模式 缓存 安全
聊聊Java设计模式-代理模式
代理模式(Proxy Design Pattern)是为一个对象提供一个替身,以控制对这个对象的访问。即通过代理对象访问目标对象。被代理的对象可以是远程对象、创建开销大的对象或需要安全控制的对象
归思君
62 1
墨三十一
|
4月前
|
设计模式 Java
Java设计模式【十三】:代理模式
Java设计模式【十三】:代理模式
墨三十一
17 0
过去日记
|
4月前
|
Rust Java 网络安全
代理模式 rust和java的实现
代理模式 rust和java的实现
过去日记
40 0
一乐乐
|
5月前
|
Java
面试java并发~(lock、volatile、cas)
面试java并发~(lock、volatile、cas)
一乐乐
40 0

热门文章

最新文章

  • 1
    Java中的多线程编程:概念、实现与性能优化
  • 2
    微信小程序上传文件至阿里云OSS直传(java后端签名+前端直传)
  • 3
    推荐一款好用的Java分布式任务调度框架!
  • 4
    java智慧城管源码 AI视频智能分析 可直接上项目
  • 5
    整理Java面试题
  • 6
    Java 学习路线:基础知识、数据类型、条件语句、函数、循环、异常处理、数据结构、面向对象编程、包、文件和 API
  • 7
    Java 并发编程 面试题及答案整理,最新面试题
  • 8
    Java 面试题及答案整理,最新面试题
  • 9
    使用Java代码打印log日志
  • 10
    基于 java + Springboot + vue +mysql 大学生实习管理系统(含源码)
  • 1
    Java 文件处理完全指南:创建、读取、写入和删除文件详细解析
    217
  • 2
    Java的语法基础
    15
  • 3
    Java的面向对象设计
    13
  • 4
    java的类加载过程
    12
  • 5
    java的常见算法
    10
  • 6
    Java的IO技术和NIO技术
    20
  • 7
    JAVA字符串与其他类型数据的转换
    27
  • 8
    JAVA字符串的基本操作
    14
  • 9
    JAVA一维数组
    17
  • 10
    JAVA跳转控制语句
    15

    • 相关课程

    更多
  • Java面试疑难点解析 - 面试技巧及语言基础
  • Java面试疑难点解析 - Java Web开发
  • Java面试疑难点解析 - 系统架构及项目设计
  • Java编程入门
  • Java面向对象编程
  • Java高级编程

    • 相关电子书

    更多
  • Spring Cloud Alibaba - 重新定义 Java Cloud-Native
  • The Reactive Cloud Native Arch
  • JAVA开发手册1.5.0

    • 相关实验场景

    更多
  • 阿里云平台上进行Java程序的编译与运行
  • 使用Java面向对象编写网络通信程序应用
  • Elasticsearch Java API Client 开发
  • 手动部署Java Web环境(Alibaba Cloud Linux 2)
  • 搭建Java Web开发环境(Anolis OS)
  • RocketMQ中使用Java客户端发送消息和消费的应用
    • 下一篇
    阿里云oss简介和使用流程