一、单点登录(SSO,Single Sign On)整合
目前计划接入统一门户的所有业务系统均为基于JavaEE技术的B/S架构系统。由于统一门户的单点登录技术选用的是JA-SIG组织开发的Cas Server,故为了与Cas Server进行无缝整合,各业务系统选用的技术依然是由JA-SIG组织开发的Cas Client。
根据各业务系统服务端技术架构的不同,现提供如下2种整合方式:
1. 在web.xml中配置4个过滤器
此方式适用于所有JavaWeb应用。
1) 所需jar
cas-client-core-3.3.3.jar
slf4j-api-1.7.1.jar
2) 配置4个过滤器(其中两个可选)
<filter><filter-name>CAS Authentication Filter</filter-name><filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class><init-param><param-name>casServerLoginUrl</param-name><param-value>http://CAS_SERVER/cas-server/login</param-value></init-param><init-param><param-name>serverName</param-name><param-value>http://CAS_CLIENT</param-value></init-param></filter><filter-mapping><filter-name>CAS Authentication Filter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
说明:
<1> casServerLoginUrl - CasServer的地址。其中cas-server为CasServer的应用名,对于所有接入统一门户的系统来说,其值应为ac。例如:http://172.16.49.243:7001/ac/login
<2> serverName - 本业务系统的IP+端口。例如:http://localhost:8080
<3> 当在CasServer端验证完毕后,CasServer会重定向到业务系统,重定向的URL是serverName+业务系统的名称。例如:http://localhost:8080/bxloan。业务系统需为此URL映射提供服务端处理逻辑,以便接收由CasServer认证后的用户工号。
<4> 配置serverName后,由CasServer认证后的重定向URL只能是系统根路径。若需自定义认证后的重定向URL,需要删除serverName的init-param,改用service。在service中指定认证后的重定向URL。例如:http://localhost:8080/bxloan/cas
<5> 如想要认证过程中放过某些url(如webservices,/services/*),可以使用ignorePattern或ignoreUrlPatternType。
<!-- 使用CAS 2.0协议校验票据 --><filter><filter-name>CAS Validation Filter</filter-name><filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class><init-param><param-name>casServerUrlPrefix</param-name><param-value>http://CAS_SERVER/cas-server</param-value></init-param><init-param><param-name>serverName</param-name><param-value>http://CAS_CLIENT</param-value></init-param></filter><filter-mapping><filter-name>CAS Validation Filter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
说明:
<1> casServerUrlPrefix - CasServer的URL前缀。对于统一门户来说,应为:http://172.16.49.243:7001/ac
<2> serverName -本业务系统的IP+端口。例如:http://localhost:8080。此URL会传给CAS服务端用以票据校验。
<!-- 包装了HttpServletRequest, 使得可以通过getRemoteUser()和getPrincipal()可以返回CAS相关入口 --><filter><filter-name>CAS HttpServletRequest Wrapper Filter</filter-name><filter-class>org.jasig.cas.client.util.HttpServletRequestWrapperFilter</filter-class></filter><filter-mapping><filter-name>CAS HttpServletRequest Wrapper Filter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
说明:
<1> 可选配置。
<2> 配置后,可以使用javax.servlet.http.HttpServletRequest.getRemoteUser() 来获取到CasServer服务端发送过来的认证后的用户工号。
<!-- 在ThreadLocal中放置应用中部分功能需要的访问的断言 --><filter><filter-name>CAS Assertion Thread Local Filter</filter-name><filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class></filter><filter-mapping><filter-name>CAS Assertion Thread Local Filter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
说明:
<1> 可选配置。
<2> 配置后,可以从与本地线程绑定的Assertion中获取用户。获取方法:AssertionHolder.getAssertion()
.getPrincipal().getName()。
2. 与Spring+Shiro的配置
此方式适用于项目中已包含Spring+Shiro的项目。
1) Maven配置
Shiro 1.2.0之后的版本提供了与Cas Client的整合。
<!-- SECURITY begin --><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>${shiro.version}</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-ehcache</artifactId><version>${shiro.version}</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-quartz</artifactId><version>${shiro.version}</version></dependency><dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-cas</artifactId><version>${shiro.version}</version></dependency><dependency><groupId>net.sf.ehcache</groupId><artifactId>ehcache-core</artifactId><version>${ehcache.version}</version></dependency><dependency><groupId>commons-codec</groupId><artifactId>commons-codec</artifactId><version>${commons-codec.version}</version></dependency><!-- SECURITY end -->
2) web.xml
<1> 让Spring加载shiro配置文件
<context-param><param-name>contextConfigLocation</param-name><param-value>classpath*:applicationContext.xmlclasspath*:applicationContext-shiro.xml</param-value></context-param>
<2> 以Spring的方式配置Shiro过滤器
<filter><filter-name>shiroFilter</filter-name><filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class><init-param><param-name>targetFilterLifecycle</param-name><param-value>true</param-value></init-param></filter><filter-mapping><filter-name>shiroFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
3) applicationContext-shiro.xml
<?xml version="1.0" encoding="UTF-8" ?><beans xmlns="/schema/beans"xmlns:xsi="/2001/XMLSchema-instance"xsi:schemaLocation="/schema/beans /schema/beans/spring-beans-3.2.xsd"default-lazy-init="true"><description>Shiro安全配置</description><!-- Shiro的Web过滤器 --><bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean"><property name="securityManager" ref="securityManager" /><property name="loginUrl" value="${shiro.loginUrl}" /><property name="successUrl" value="${shiro.successUrl}" /><property name="filters"><map><entry key="cas" value-ref="casFilter" /></map></property><property name="filterChainDefinitions"><value>/static/** = anon/cas = cas/** = user</value></property></bean><!-- 安全管理器 --><bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"><property name="realm" ref="casRealm" /><property name="cacheManager" ref="shiroEhcacheManager" /><property name="subjectFactory" ref="casSubjectFactory" /></bean><bean id="casRealm" class="com.coamctech.portal.web.security.MyCasRealm" depends-on="userDao"><property name="userMngService" ref="userMngService" /><property name="casServerUrlPrefix" value="${cas.casServerUrlPrefix}" /><property name="casService" value="${cas.casService}" /></bean><!-- 用户授权信息Cache, 采用EhCache --><bean id="shiroEhcacheManager" class="org.apache.shiro.cache.ehcache.EhCacheManager"><property name="cacheManagerConfigFile" value="classpath:ehcache-shiro.xml" /></bean><bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory" /><bean id="casFilter" class="com.coamctech.portal.web.security.MyCasFilter" /><!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) --><bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean"><property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager" /><property name="arguments" ref="securityManager" /></bean><!-- Shiro生命周期处理器 --><bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" /></beans>
4) applicatoin.properties
#cas settings
ac.host=http://172.16.49.243:7001
local.host=http://localhost:8080
#shiro-cas settings
shiro.loginUrl=${cas.casServerUrlPrefix}?service=${cas.casService}
shiro.successUrl=/
cas.casServerUrlPrefix=${ac.host}/ac
cas.casService=${local.host}/portal/cas
此为applicationContext-shiro.xml中占位符的内容。
在applicatonContext-shiro中,有两个绿色的bean不是来自Shiro或Spring。这两个bean分别对框架提供的默认功能提供了一些扩展。以下内容会涉及Shiro的知识,请先了解Shiro。
5) 扩展CasRealm
package com.coamctech.portal.web.security;import java.util.List;import java.util.Map;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationInfo;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.authc.SimpleAuthenticationInfo;import org.apache.shiro.authz.AuthorizationInfo;import org.apache.shiro.cas.CasRealm;import org.apache.shiro.subject.PrincipalCollection;import org.apache.shiro.subject.SimplePrincipalCollection;import org.apache.shiro.util.CollectionUtils;import org.slf4j.Logger;import org.slf4j.LoggerFactory;import org.springframework.beans.BeanUtils;import com.coamctech.portal.entity.User;import com.coamctech.portal.service.usermng.UserMngService;public class MyCasRealm extends CasRealm {private static final Logger logger = LoggerFactory.getLogger(MyCasRealm.class);private UserMngService userMngService;public void setUserMngService(UserMngService userMngService) {this.userMngService = userMngService;}/*** 认证*/@SuppressWarnings("unchecked")@Overrideprotected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {SimpleAuthenticationInfo info = (SimpleAuthenticationInfo) super.doGetAuthenticationInfo(token);PrincipalCollection principalCollection = info.getPrincipals();List<Object> listPrincipals = principalCollection.asList();String username = (String) listPrincipals.get(0);logger.info("cas-username:" + username);Map<String, String> attributes = (Map<String, String>) listPrincipals.get(1);ShiroUser shiroUser = getShiroUser(username);List<Object> shiroPrincipals = CollectionUtils.asList(shiroUser, attributes);principalCollection = new SimplePrincipalCollection(shiroPrincipals, getName());info.setPrincipals(principalCollection);return info;}private ShiroUser getShiroUser(String username) {User user = userMngService.getByUsername(username);ShiroUser shiroUser = new ShiroUser();BeanUtils.copyProperties(user, shiroUser);return shiroUser;}/*** 鉴权*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {return super.doGetAuthorizationInfo(principals);}}
Shiro的Realm用来获取用户相关信息。CasRealm的doGetAuthenticationInfo()返回的认证信息(AuthenticationInfo)中只保存了由CasServer传过来的用户工号。那么,我们在业务代码(或许是某个Controller)中通过SecurityUtils.getSubject().getPrincipal() 获取到的就只是这个工号。
如果想在每次调用 SecurityUtils.getSubject().getPrincipal() 时获取完整的当前用户信息,则需要在获取到用户工号后,根据用户工号查询业务系统中的用户表,加载用户相关信息,然后再保存至认证信息(AuthenticationInfo)中。
也即MyCasRealm重写doGetAuthenticationInfo() 中完成的过程。
6) 扩展CasFilter
package com.coamctech.portal.web.security;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import org.apache.shiro.authc.AuthenticationException;import org.apache.shiro.authc.AuthenticationToken;import org.apache.shiro.cas.CasFilter;public class MyCasFilter extends CasFilter {public static final String ERROR_KEY_ATTRIBUTE_NAME = MyCasFilter.class.getName() + ".casShiroLoginFailure";@Overrideprotected boolean onLoginFailure(AuthenticationToken token, AuthenticationException ae,ServletRequest request, ServletResponse response) {String className = ae.getClass().getName();request.setAttribute(ERROR_KEY_ATTRIBUTE_NAME, className);return true;}}
Shiro在认证过程中如果出现异常,则会将异常交给开发人员自己处理。CasFilter在onLoginFailure()中的默认处理是,重定向到failureUrl,而failureUrl则指向某个页面。但遗憾的,是在failureUrl指向的页面中,并不能获取到异常的详细信息(因为Shiro并没把异常信息放进去,所以我们当然获取不到)。从而不能根据异常的类型,显示不同的信息。
为此,MyCasFilter重写了onLoginFailure() ,将异常信息放在request scope中,最后返回return true表示过滤链会继续执行。即在applicationContext-shiro.xml配置的cas.casService(http://localhost:8080/portal/cas)会继续执行。那么,我们要在业务代码中加入对/cas的映射,从request scope取出异常名,然后根据不同的异常名,做不同的逻辑处理。
二、单点登出(SSO,Single Sign Out)
由于所有业务集成接入统一门户后,即只有一个登入入口,那么也需要只有一个登出出口。故在统一门户或各业务系统(如果有需要)中需要提供单点登出功能。
JA-SIG Cas Client已提供了单点登出功能,实现方式只是在web.xml这配置1个过滤器和1个监听器就可以了。
<!-- CAS Single Sign Out --><listener><listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class></listener><filter><filter-name>singleSignOutFilter</filter-name><filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class></filter><filter-mapping><filter-name>singleSignOutFilter</filter-name><url-pattern>/*</url-pattern></filter-mapping>
请使SingleSignOutFilter先与其它过滤器执行。
三、业务系统的进一步改造
业务系统的进一步改造主要有以下三点:
1. 提供可靠的安全机制,不可让用户认证绕过统一门户
在统一门户中,用户登入后,会根据用户的权限列出能够访问的系统。通常,用户不会具有所有系统的访问权限。
由于各个业务系统都会接入认证中心,那么就可能会出现绕过统一门户的权限限制,直接登入业务系统的情况。一个可能的情境是:业务系统接入认证中心(ac)后,用户先在ac完成认证,然后直接输入业务系统URL,根据CAS SSO的机制,此时依然可直接登录。
因此,业务系统必须加入判断,判断用户登入时必须是从统一门户登录过来的才可以,否则不予登入。
2. 屏蔽登录入口,用户和机构维护功能
统一门户系统启用后,所有接入门户的业务系统登录入口都要统一到门户系统。因此,各业务系统无需也不能再提供系统登录入口。
另外,由于用户和机构数据也集中在门户统一维护,业务系统还需屏蔽掉用户和机构维护功能。或者保留维护功能,但由统一门户发送过来的字段不可修改。
3. 提供WebServices接口,用以与统一门户同步用户和机构数据
统一门户系统启用后,所有的用户和机构数据都在统一门户系统中进行维护。所有业务系统中的用户和机构数据需要与统一门户系统保持统一。
为此各业务系统必须提供WebServices接口供统一门户系统调用,用以当统一门户系统中对用户和机构数据进行维护后,能够调用各业务系统的WebServices接口完成数据同步。
各业务系统提供的WebServices接口在接收到统一门户发送过来的用户或机构后,需根据自己系统中的用户表和机构表结构,组织好数据,进行保存。同步接口定义如下:
1). 同步用户:
public String syncUser(String jsonUser, String operation)
jsonUser为门户的用户对象的json形式,各字段为:
private Integer id;
private String loginName;// 登录账号(员工工号)
private String password; // 密码
private String name; // 用户姓名
private String mobile; // 手机号
private String address; // 地址
private String email; // 邮箱
private String state; // 用户状态:1-使用,2-禁用
private String idCard; // 身份证
private String phone; // 固定电话
private Integer createPerson; // 创建人
private Date createDate; // 创建日期
private Date expireDate; // 失效时间
private String allowIps; // 允许ips
private Integer lastModifiedUser; // 最后修改人
private Date lastModifiedDate; // 最后修改日期
private Date lastLoginDate; // 最后登录日期
private String lastLoginIp; // 最后登录IP
private Integer tenantId; // 租户ID
private String userLevel; // 用户级别
private Integer orgId; // 机构ID
operation: save-保存或新增,delete-删除
返回值为json串,结构如下
private Boolean success; // 是否成功:成功-true,失败-false
private String msg; // 消息:"xx系统用户同步成功","小贷系统用户同步失败"
private Object data; // 数据
例如:{success: true,msg: "xx系统用户同步成功!", data: null}
2.同步机构
public String syncOrg(String jsonOrg, String operation)
jsonOrg为统一门户机构对象的json形式:
private Long id; // 机构ID
private Long parentId; // 上级机构
private String name; // 名称
private String manager; // 负责人
private String memo; // 备注
private String code; // 代码
private String type; // 机构类型:1-总公司,2-子公司,3-分公司,4-部门
private String state; // 状态:1-使用,2-禁用
private Long tenantId; // 租户ID
private Long createPerson; // 创建人
private Date createDate; // 创建时间
private Long lastModifiedUser; // 最近修改人
private Date lastModifiedDate; // 最近修改时间
private String bank; // 开户行名称
private String accountNumber; // 开户行账号
private Date foundingDate; // 成立时间
private Double registeredCapital; // 注册资本
private String phone; // 联系电话
private String formerName; // 曾用名
private String address; // 地址
private String zipcode; // 邮编
private String businessLicense;//营业执照号
operation: save-保存或新增,delete-删除
返回值为json串,结构如下
private Boolean success; // 是否成功:成功-true,失败-false
private String msg; // 消息:"xx系统机构同步成功!" "小贷系统机构同步失败!"
private Object data; // 数据
例如:{success: true, msg: "xx系统机构同步成功!", data: null}
参考资料
[1] /display/CASC/CAS+Client+for+Java+3.1
[2] /display/CASC/Configuring+the+Jasig+CAS+Client+for+Java+in+the+web.xml
[3] /cas.html
[4] /blog/2036730
[5] /display/CASC/Configuring+Single+Sign+Out
[6] http://jasig.github.io/cas/4.0.0/index.html