【安全记录】使用CAS实现SSO单点登录

admin 2022年6月2日07:56:11安全开发评论10 views4311字阅读14分22秒阅读模式

1. 前言2. 相关知识介绍2.1 SSO概述2.2 CAS介绍3. CAS服务端安装部署4. CAS 服务端配置5. CAS 客户端编写配置5.1 客户端15.2 客户端26. 效果演示7. 总结8. 参考链接

1. 前言

平时渗透过程中总会遇到很多SSO单点登录的站群,也不太清楚其中的原理。最近看到一篇文章,讲解了使用CAS实现SSO功能,

2. 相关知识介绍

2.1 SSO概述

单点登录(Single Sign-On , 简称 SSO)是目前比较流行的服务于企业业务整合的解决方案之一, SSO 使得在多个应用系统中,用户只需要登录一次,就可以访问所有相互信任的应用系统。

2.2 CAS介绍

CAS(Central Authentication Service)中文翻译为++统一身份认证服务或中央身份服务++,它由服务端和客户端组成,实现SSO,并且容易进行企业应用的集成。

官网地址:https://www.apereo.org/projects/cas

服务端:CAS Server为需要独立部署的web应用

客户端:CAS Client支持非常多的客户端(这里指单点登录系统中的各个web应用),包括 Java、.Net 、ISAPI、Php、Perl、uPortal、Acegi、Ruby、VBScript等客户端

整体架构图如下:

【安全记录】使用CAS实现SSO单点登录

对客户端受保护资源的访问请求,需要登录,重定向到CAS Server。

3. CAS服务端安装部署

使用maven进行build,所以部署前先安装maven,并配置好maven仓库来源与本地仓库路径(防止下载的包默认放在c盘)

下载5.3版本CAS 服务端:https://github.com/apereo/cas-overlay-template/tree/5.3

解压:

【安全记录】使用CAS实现SSO单点登录

在解压目录下运行build.cmd命令:

build.cmd package

【安全记录】使用CAS实现SSO单点登录

会从maven仓库下载相关的依赖包,最后在target目录下得到可直接部署的war包:

【安全记录】使用CAS实现SSO单点登录

将war包放在tomcat的webapps目录下,(我这里使用的是tomcat 8.5.9版本,一开始使用的7.0.99版本一直部署不成功)。部署需要一段时间,部署完成后,访问http://127.0.0.1:8080/cas即可看到主页面。

【安全记录】使用CAS实现SSO单点登录

登录账号密码配置文件位置:webappscasWEB-INFclassesapplication.properties

默认账号密码为:

cas.authn.accept.users=casuser::Mellon

4. CAS 服务端配置

主要配置修改为去除HTTPS认证。

使用https传输需要相关的证书文件,在本次搭建学习过程中,我使用http协议即可。

修改CAS服务端配置文件:

casWEB-INFclassesapplication.properties

添加如下内容:

cas.tgc.secure=false
cas.serviceRegistry.initFromJson=true

casWEB-INFclassesservicesHTTPSandIMAPS-10000001.json

修改为如下内容:

"serviceId" : "^(https|http|imaps)://.*"

5. CAS 客户端编写配置

回到CAS架构的图:

【安全记录】使用CAS实现SSO单点登录

客户端就是一个一个应用,这里创建两个springboot测试项目作为客户端。

5.1 客户端1

创建一个springboot项目,配置的具体过程可以学习参考链接,添加如下依赖pom.xml

<dependency>
  <groupId>net.unicon.cas</groupId>
  <artifactId>cas-client-autoconfig-support</artifactId>
  <version>2.1.0-GA</version>
</dependency>

在resources下新建application.properties(或者已经存在该配置文件),写入如下内容:

server.port=8088

#cas服务端的地址
cas.server-url-prefix=http://localhost:8080/cas

#cas服务端的登录地址
cas.server-login-url=http://localhost:8080/cas/login

#当前客户端的地址(客户端)
cas.client-host-url=http://localhost:8088

#Ticket校验器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3

接着在Java目录下新建一个包com.client1,在该包下新建一个类Application,代码如下:

package com.client1;

import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

// 启动CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {

   public static void main(String[] args) {
       SpringApplication.run(Application.class, args);
  }
}

再新建一个CasTest1类:

package com.client1;

import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@EnableAutoConfiguration
public class CasTest1 {

   @RequestMapping("/test1")
   public String test1(){
       return "This is test1";
  }
}

运行springboot项目:

【安全记录】使用CAS实现SSO单点登录

5.2 客户端2

使用同样的方法创建另外一个项目:

application.properties

server.port=8099

#cas服务端的地址
cas.server-url-prefix=http://localhost:8080/cas

#cas服务端的登录地址
cas.server-login-url=http://localhost:8080/cas/login

#当前客户端的地址(客户端)
cas.client-host-url=http://localhost:8099

#Ticket校验器使用Cas30ProxyReceivingTicketValidationFilter
cas.validation-type=cas3

Application.java

package com.client2;

import net.unicon.cas.client.configuration.EnableCasClient;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

// 启动CAS @EnableCasClient
@EnableCasClient
@SpringBootApplication
public class Application {

   public static void main(String[] args) {
       SpringApplication.run(Application.class, args);
  }
}

CasTest2.java

package com.client2;

import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@EnableAutoConfiguration
public class CasTest2 {

   @RequestMapping("/test2")
   public String test1(){
       return "This is test2";
  }
}

6. 效果演示

启动两个客户端的springboot项目,启动tomcat来运行cas服务端。

访问客户端1的服务:http://localhost:8088/test1

会跳转到http://localhost:8080/cas/login?service=http%3A%2F%2Flocalhost%3A8088%2Ftest1

【安全记录】使用CAS实现SSO单点登录

在另外一个浏览器访问客户端2的服务:http://localhost:8099/test2,同样跳转到CAS的登录中心。

使用账号密码登录客户端1的服务,可以成功访问test1路由:

【安全记录】使用CAS实现SSO单点登录

打开浏览器新的标签,输入http://localhost:8099/test2,这次就没有跳转到cas的登录中心,而是可以直接访问需要认证后的页面了。

【安全记录】使用CAS实现SSO单点登录

7. 总结

回顾整个应用的过程,结合架构图:

【安全记录】使用CAS实现SSO单点登录

CAS Server作为一个中转中心,在同一个浏览器中,CAS会对认证做保存,管理所有客户端(一个一个应用),统一鉴权管理。

CAS Server需要独立部署,主要负责对用户的认证工作,CAS Client负责处理;对客户端受保护资源的访问请求,需要登录时重定向到CAS Server。

8. 参考链接

基于CAS实现SSO单点登录

CAS5.3服务器搭建及SpringBoot整合CAS实现单点登录


原文始发于微信公众号(信安文摘):【安全记录】使用CAS实现SSO单点登录

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月2日07:56:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【安全记录】使用CAS实现SSO单点登录 http://cn-sec.com/archives/866727.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: