spring security3 之 C

Spring Security 和 CAS 交互流程

1. WEB用户访问服务公共页面，没有涉及spring Security和CAS
   

2. 用户访问一个受保护的页面或页面中使用了一个受保护的bean，Spring Security的ExceptionTranslationFilter 发现异常AccessDeniedException 或AuthenticationException

3. 用户的Authentication 对象（或缺少该对象）触发AuthenticationException，ExceptionTranslationFilter 将调用配置的AuthenticationEntryPoint，如果使用CAS，则调用的是CasAuthenticationEntryPoint 类

4. CasAuthenticationEntryPoint 将用户浏览器跳转到CAS服务器，它指定了一个service参数，该参数是Spring Security服务的回调URL。例如，浏览器跳转的URL可能是https://my.company.com/cas/login?service=Https%3A%2F%2Fserver3.company.com%2Fwebapp%2Fj_spring_cas_security_check

5. 在用户浏览器调转到CAS后，将被提示输入用户名和密码，如果用户提供了一个session cookie表明之前登录过，将不再被提示登录。CAS将使用 PassWordHandler （如果使用CAS3.0则是AuthenticationHandler）判断用户名和密码是否有效

6. 成功登陆，CAS将用户浏览器跳转到原来的服务。它将包含一个ticket参数，它是一个表示服务票据的加密字符串。延续我们之前的例子，浏览器跳转的URL可能是https://server3.company.com/webapp/j_spring_cas_security_check?ticket=ST-0-ER94xMJmn6pha35CQRoZ

   
   

7. 回到web应用，CasAuthenticationFilter总是监听/j_spring_cas_security_check请求，这是可配置的，我们这里使用默认配置。该处理过滤器将构造一个表示服务票据的UsernamePasswordAuthenticationToken。其中principal属性的值是CasAuthenticationFilter.CAS_STATEFUL_IDENTIFIER，credentials属性的值是服务票据加密的值。然后这个认证请求将被配置的AuthenticationManager处理

8. AuthenticationManager的实现是ProviderManager，它又由CasAuthenticationProvider实现。CasAuthenticationProvider只对包含了CAS特殊主体（如CasAuthenticationFilter.CAS_STATEFUL_IDENTIFIER）和CasAuthenticationTokens的UsernamePasswordAuthenticationTokens 做出响应。

9. CasAuthenticationProvider 通过一个TicketValidator的实现类校验服务票据。典型的实现类是Cas20ServiceTicketValidator，它包含在CAS客户端库中。对于部分需要校验代理票据的应用，使用Cas20ProxyTicketValidator。TicketValidator 发送一个HTTPS请求到CAS服务器以校验服务票据。它可能还包含一个代理回调URL，该例中为：https://my.company.com/cas/proxyValidate?service=https%3A%2F%2Fserver3.company.com%2Fwebapp%2Fj_spring_cas_security_check&ticket=ST-0-ER94xMJmn6pha35CQRoZ&pgtUrl=https://server3.company.com/webapp/j_spring_cas_security_proxyreceptor

10. 回到CAS服务器，校验请求将被接收。如果提供的服务票据和票据发布的服务URL相匹配，CAS将提供一个赞成的响应，并在XML中指定用户名。如果在认证中关联了任何代理，则XML响应中还包含代理的列表

11. Cas20TicketValidator 解析从CAS服务器收到的XML，它给CasAuthenticationProvider 返回一个TicketResponse，其中包含用户名和代理列表

12. 接下来CasAuthenticationProvider 调用一个配置的CasProxyDecider。CasProxyDecider 指出TicketResponse中包含的代理列表是否可以被服务所接受。Spring Security提供了一些它的实现，包括RejectProxyTickets、AcceptAnyCasProxy和NamedCasProxyDecider。这些名字很大程度都能自我解释，除了NamedCasProxyDecider，它允许一个被信任的代理列表

13. CasAuthenticationProvider 接下来将请求AuthenticationUserDetailsService 去加载应用于包含在Assertion中用户的GrantedAuthority 对象

14. 如果没有任何问题，CasAuthenticationProvider 将构造一个包含TicketResponse和GrantedAuthority 中所包含详情的CasAuthenticationToken。

15. 然后控制权转交给CasAuthenticationFilter，它将创建的CasAuthenticationToken 放进security context中

16. 用户浏览器被跳转到引起AuthenticationException 的原始页面(或者一个自定义目的地，这取决于配置)

Spring Security和CAS配置

<?xml version="1.0"encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beanshttp://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<security:http entry-point-ref="casProcessingFilterEntryPoint" use-expressions="true" access-denied-page="/errors/403">
    <security:intercept-urlpattern="/resources/**" filters="none" />
    <security:intercept-urlpattern="/api/**" filters="none" />
    <security:intercept-urlpattern="/**" access="hasRole('ROLE_USER')" />
    <security:loGout logout-success-url="${cas.auth.server}/logout?service=${cas.local.server}"/>
    <security:custom-filterref="casAuthenticationFilter" after="CAS_FILTER"/>
</security:http>
<security:authentication-manager alias="authenticationManager">
    <security:authentication-provider ref="casAuthenticationProvider"/>
</security:authentication-manager>

<bean id="securityContextPersistenceFilter"
class="org.springframework.security.web.context.SecurityContextPersistenceFilter">
    <property name="securityContextRepository">
        <bean class="org.springframework.security.web.context.HttpSessionSecurityContextRepository">
            <property name="allowSessionCreation" value="false" />
        </bean>
    </property>
</bean>
    
<bean id="casAuthenticationFilter" class="org.springframework.security.cas.web.CasAuthenticationFilter">
    <property name="authenticationManager" ref="authenticationManager"/>
    <property name="authenticationFailureHandler">
        <bean class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
             <property name="defaultFailureUrl" value="/errors/403"/>
        </bean>
    </property>
    <property name="authenticationSuccesshandler">
        <bean class="com.baidu.issue.internal.security.login.SimpleLoginSuccessHandler">
            <property name="defaultTargetUrl" value="/"/>
        </bean>
    </property>
    <property name="proxyGrantingTicketStorage"ref="proxyGrantingTicketStorage" />
    <property name="proxyReceptorUrl" value="/secure/receptor" />
</bean>

<bean id="casProcessingFilterEntryPoint" class="org.springframework.security.cas.web.CasAuthenticationEntryPoint">
     <property name="loginUrl" value="${cas.auth.server}/login"/>
    <property name="serviceProperties" ref="serviceProperties"/>
</bean>

<bean id="casAuthenticationProvider" class="org.springframework.security.cas.authentication.CasAuthenticationProvider" autowire="byType">
    <property name="userDetailsService"ref="userDetailsService"/>
    <property name="serviceProperties" ref="serviceProperties" />
    <property name="ticketValidator">
        <bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
            <constructor-arg index="0" value="${cas.auth.server}" />
            <property name="proxyGrantingTicketStorage"ref="proxyGrantingTicketStorage" />
            <property name="proxyCallbackUrl" value="${cas.local.server}/secure/receptor" />
        </bean>
    </property>
    <property name="key" value="will_project"/>
</bean>

<bean id="proxyGrantingTicketStorage" class="org.jasig.cas.client.proxy.ProxyGrantingTicketStorageImpl"/>

<bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">
    <property name="service" value="${cas.local.server}/j_spring_cas_security_check"/>
    <property name="sendRenew" value="false"/>
</bean>
</beans>