1. 前言
平时渗透过程中总会遇到很多SSO单点登录的站群,也不太清楚其中的原理。最近看到一篇文章,讲解了使用CAS实现SSO功能,
2. 相关知识介绍
2.1 SSO概述
单点登录(Single Sign-On , 简称 SSO)是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。
2.2 CAS介绍
CAS(Central Authentication Service)中文翻译为++统一身份认证服务或中央身份服务++,它由服务端和客户端组成,实现SSO,并且容易进行企业应用的集成。
官网地址:https://www.apereo.org/projects/cas
服务端:CAS Server为需要独立部署的web应用
客户端:CAS Client支持非常多的客户端(这里指单点登录系统中的各个web应用),包括 Java、.Net 、ISAPI、Php、Perl、uPortal、Acegi、Ruby、VBScript等客户端
整体架构图如下:
对客户端受保护资源的访问请求,需要登录,重定向到CAS Server。
3. CAS服务端安装部署
使用maven进行build,所以部署前先安装maven,并配置好maven仓库来源与本地仓库路径(防止下载的包默认放在c盘)
下载5.3版本CAS 服务端:https://github.com/apereo/cas-overlay-template/tree/5.3
解压:
在解压目录下运行build.cmd命令:
build.cmd package
会从maven仓库下载相关的依赖包,最后在target目录下得到可直接部署的war包:
将war包放在tomcat的webapps目录下,(我这里使用的是tomcat 8.5.9版本,一开始使用的7.0.99版本一直部署不成功)。部署需要一段时间,部署完成后,访问http://127.0.0.1:8080/cas即可看到主页面。
登录账号密码配置文件位置:\webapps\cas\WEB-INF\classes\application.properties
默认账号密码为:
cas.authn.accept.users=casuser::Mellon
4. CAS 服务端配置
主要配置修改为去除HTTPS认证。
使用https传输需要相关的证书文件,在本次搭建学习过程中,我使用http协议即可。
修改CAS服务端配置文件:
\cas\WEB-INF\classes\application.properties
添加如下内容:
cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true
\cas\WEB-INF\classes\services\HTTPSandIMAPS-10000001.json
修改为如下内容:
"serviceId" : "^(https|http|imaps)://.*"
5. CAS 客户端编写配置
回到CAS架构的图:
客户端就是一个一个应用,这里创建两个springboot测试项目作为客户端。
5.1 客户端1
创建一个springboot项目,配置的具体过程可以学习参考链接,添加如下依赖pom.xml:
<dependency>
<groupId>net.unicon.cas</groupId>
<artifactId>cas-client-autoconfig-support</artifactId>
<version>2.1.0-GA</version>
</dependency>
在resources下新建application.properties(或者已经存在该配置文件),写入如下内容:
server.port=8088
#cas服务端的地址
cas.server-url-prefix=http://localhost:8080/cas
#cas服务端的登录地址
cas.server-login-url=http://localhost:8080/cas/login
#当前客户端的地址(客户端)
cas.client-host-url=http://localhost:8088
#Ticket校验器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3
接着在Java目录下新建一个包com.client1,在该包下新建一个类Application,代码如下:
package com.client1;
import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
// 启动CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
再新建一个CasTest1类:
package com.client1;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@EnableAutoConfiguration
public class CasTest1 {
@RequestMapping("/test1")
public String test1(){
return "This is test1";
}
}
运行springboot项目:
5.2 客户端2
使用同样的方法创建另外一个项目:
application.properties
server.port=8099
#cas服务端的地址
cas.server-url-prefix=http://localhost:8080/cas
#cas服务端的登录地址
cas.server-login-url=http://localhost:8080/cas/login
#当前客户端的地址(客户端)
cas.client-host-url=http://localhost:8099
#Ticket校验器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3
Application.java
package com.client2;
import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
// 启动CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
CasTest2.java
package com.client2;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
@EnableAutoConfiguration
public class CasTest2 {
@RequestMapping("/test2")
public String test1(){
return "This is test2";
}
}
6. 效果演示
启动两个客户端的springboot项目,启动tomcat来运行cas服务端。
访问客户端1的服务:http://localhost:8088/test1
会跳转到http://localhost:8080/cas/login?service=http%3A%2F%2Flocalhost%3A8088%2Ftest1
在另外一个浏览器访问客户端2的服务:http://localhost:8099/test2,同样跳转到CAS的登录中心。
使用账号密码登录客户端1的服务,可以成功访问test1路由:
打开浏览器新的标签,输入http://localhost:8099/test2,这次就没有跳转到cas的登录中心,而是可以直接访问需要认证后的页面了。
7. 总结
回顾整个应用的过程,结合架构图:
CAS Server作为一个中转中心,在同一个浏览器中,CAS会对认证做保存,管理所有客户端(一个一个应用),统一鉴权管理。
CAS Server需要独立部署,主要负责对用户的认证工作,CAS Client负责处理;对客户端受保护资源的访问请求,需要登录时重定向到CAS Server。
