1. 前言
平時滲透過程中總會遇到很多SSO單點登錄的站群,也不太清楚其中的原理。最近看到一篇文章,講解了使用CAS實現SSO功能,
2. 相關知識介紹
2.1 SSO概述
單點登錄(Single Sign-On , 簡稱 SSO)是目前比較流行的服務于企業業務整合的解決方案之一, SSO 使得在多個應用系統中,用戶只需要登錄一次,就可以訪問所有相互信任的應用系統。
2.2 CAS介紹
CAS(Central Authentication Service)中文翻譯為++統一身份認證服務或中央身份服務++,它由服務端和客戶端組成,實現SSO,并且容易進行企業應用的集成。
官網地址:https://www.apereo.org/projects/cas
服務端:CAS Server為需要獨立部署的web應用
客戶端:CAS Client支持非常多的客戶端(這里指單點登錄系統中的各個web應用),包括 Java、.Net 、ISAPI、Php、Perl、uPortal、Acegi、Ruby、VBScript等客戶端
整體架構圖如下:
對客戶端受保護資源的訪問請求,需要登錄,重定向到CAS Server。
3. CAS服務端安裝部署
使用maven進行build,所以部署前先安裝maven,并配置好maven倉庫來源與本地倉庫路徑(防止下載的包默認放在c盤)
下載5.3版本CAS 服務端:https://github.com/apereo/cas-overlay-template/tree/5.3
解壓:
在解壓目錄下運行build.cmd命令:
build.cmd package
會從maven倉庫下載相關的依賴包,最后在target目錄下得到可直接部署的war包:
將war包放在tomcat的webapps目錄下,(我這里使用的是tomcat 8.5.9版本,一開始使用的7.0.99版本一直部署不成功)。部署需要一段時間,部署完成后,訪問http://127.0.0.1:8080/cas即可看到主頁面。
登錄賬號密碼配置文件位置:\webapps\cas\WEB-INF\classes\application.properties
默認賬號密碼為:
cas.authn.accept.users=casuser::Mellon
4. CAS 服務端配置
主要配置修改為去除HTTPS認證。
使用https傳輸需要相關的證書文件,在本次搭建學習過程中,我使用http協議即可。
修改CAS服務端配置文件:
\cas\WEB-INF\classes\application.properties
添加如下內容:
cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true
\cas\WEB-INF\classes\services\HTTPSandIMAPS-10000001.json
修改為如下內容:
"serviceId" : "^(https|http|imaps)://.*"
5. CAS 客戶端編寫配置
回到CAS架構的圖:
客戶端就是一個一個應用,這里創建兩個springboot測試項目作為客戶端。
5.1 客戶端1
創建一個springboot項目,配置的具體過程可以學習參考鏈接,添加如下依賴pom.xml:
<dependency>
<groupId>net.unicon.cas</groupId>
<artifactId>cas-client-autoconfig-support</artifactId>
<version>2.1.0-GA</version>
</dependency>
在resources下新建application.properties(或者已經存在該配置文件),寫入如下內容:
server.port=8088
#cas服務端的地址
cas.server-url-prefix=http://localhost:8080/cas
#cas服務端的登錄地址
cas.server-login-url=http://localhost:8080/cas/login
#當前客戶端的地址(客戶端)
cas.client-host-url=http://localhost:8088
#Ticket校驗器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3
接著在Java目錄下新建一個包com.client1,在該包下新建一個類Application,代碼如下:
package com.client1;
import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
// 啟動CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
再新建一個CasTest1類:
package com.client1;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@EnableAutoConfiguration
public class CasTest1 {
@RequestMapping("/test1")
public String test1(){
return "This is test1";
}
}
運行springboot項目:
5.2 客戶端2
使用同樣的方法創建另外一個項目:
application.properties
server.port=8099
#cas服務端的地址
cas.server-url-prefix=http://localhost:8080/cas
#cas服務端的登錄地址
cas.server-login-url=http://localhost:8080/cas/login
#當前客戶端的地址(客戶端)
cas.client-host-url=http://localhost:8099
#Ticket校驗器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3
Application.java
package com.client2;
import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
// 啟動CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
CasTest2.java
package com.client2;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@EnableAutoConfiguration
public class CasTest2 {
@RequestMapping("/test2")
public String test1(){
return "This is test2";
}
}
6. 效果演示
啟動兩個客戶端的springboot項目,啟動tomcat來運行cas服務端。
訪問客戶端1的服務:http://localhost:8088/test1
會跳轉到http://localhost:8080/cas/login?service=http%3A%2F%2Flocalhost%3A8088%2Ftest1
在另外一個瀏覽器訪問客戶端2的服務:http://localhost:8099/test2,同樣跳轉到CAS的登錄中心。
使用賬號密碼登錄客戶端1的服務,可以成功訪問test1路由:
打開瀏覽器新的標簽,輸入http://localhost:8099/test2,這次就沒有跳轉到cas的登錄中心,而是可以直接訪問需要認證后的頁面了。
7. 總結
回顧整個應用的過程,結合架構圖:
CAS Server作為一個中轉中心,在同一個瀏覽器中,CAS會對認證做保存,管理所有客戶端(一個一個應用),統一鑒權管理。
CAS Server需要獨立部署,主要負責對用戶的認證工作,CAS Client負責處理;對客戶端受保護資源的訪問請求,需要登錄時重定向到CAS Server。
