CAS单点登录开源框架解读(七)--CAS单点登录客户端认证之客户端过滤拦截

最新推荐文章于 2026-05-24 12:47:59 发布
原创 最新推荐文章于 2026-05-24 12:47:59 发布 · 2.6k 阅读 · 9 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#CAS #单点登录 #源码 #解读
本文解析了CAS单点登录客户端的跳转过程,重点介绍了客户端包cas-client-core中的5个filter及其作用,包括单点登出、用户认证、Ticket校验等关键步骤。

CAS单点登录客户端跳转过程解析,主要针对客户端包cas-client-core

用户首次访问CAS单点登录客户端(对应流程图第1步),访问地址:http://localhost:8088/cas-client/
首次访问客户端

1. CAS单点登录客户端被客户端5个filter拦截

CAS单点登录客户端总共有5个filter,上述url都能匹配上,所以按顺序进入5个filter 。本文客户端分析源码采用cas-client-core-3.4.1版本。
一般在CAS单点登录客户端中的Web.xml里都会配置五个filter-mapping如下。

*客户端Web.xml:*
    <filter-mapping>
		<filter-name>CAS Single Sign Out Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
    <filter-mapping>
		<filter-name>CASFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping> 
    <filter-mapping>
		<filter-name>CAS Validation Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
    <filter-mapping>
		<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
    <filter-mapping>
		<filter-name>CAS Assertion Thread Local Filter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

访问客户端时都能匹配这5个地址,每一个过滤器都会去执行。但是执行中根据不同的条件有不同的处理策略。
通过这5个filter-mapping我们来看一下具体的过滤器是什么。

*CAS单点登录客户端Web.xml:*

<!-- 该过滤器用于实现单点登出功能,单点退出配置,一定要放在其他filter之前 可选-->
	<filter>
		<filter-name>CAS Single Sign Out Filter</filter-name>
	<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
		<init-param>
			<param-name>casServerUrlPrefix</param-name>
			<param-value>http://localhost:8080/cas/</param-value> 
		</init-param>
	</filter>
	<!-- 该过滤器负责用户的认证工作,必须 -->
	<filter>
		<filter-name>CASFilter</filter-name>
	<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
		<init-param>
			<!--casServerLoginUrl:CAS单点登录服务端的登录url -->
			<param-name>casServerLoginUrl</param-name>
			<param-value>http://localhost:8080/cas/</param-value>
		</init-param>
		<init-param>
		    <!--serverName:CAS单点登录客户端本的ip+port -->
			<param-name>serverName</param-name>
			 <param-value>http://localhost:8088</param-value>
		</init-param>
		<init-param>
			<param-name>useSession</param-name>
			<param-value>true</param-value>
		</init-param>
		<init-param>
			<param-name>redirectAfterValidation</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<!-- 该过滤器负责对Ticket的校验工作,必须-->
	<filter>
		<filter-name>CAS Validation Filter</filter-name>
		<filter-class>
org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
		</filter-class>
		<init-param>
			<param-name>casServerUrlPrefix</param-name>
			<!-- CAS服务端的地址,注意不需要有login -->
			<param-value>http://localhost:8080/cas/</param-value> 
		</init-param>
		<init-param>
			<param-name>serverName</param-name>
			<!-- 客户端的serverName -->
			<param-value>http://localhost:8088</param-value>
		</init-param>
	</filter>
	<!-- 该过滤器对HttpServletRequest请求包装, 可通过HttpServletRequest的getRemoteUser()方法获得登录用户的登录名,可选 -->
	<filter>
		<filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
		<filter-class>
			org.jasig.cas.client.util.HttpServletRequestWrapperFilter
		</filter-class>
	</filter>
	<!-- 该过滤器使得可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
		 比如AssertionHolder.getAssertion().getPrincipal().getName()。 
		 这个类把Assertion信息放在ThreadLocal变量中,这样应用程序不在web层也能够获取到当前登录信息 -->
	<filter>
		<filter-name>CAS Assertion Thread Local Filter</filter-name>
	<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
	</filter>
		<!-- ****************** 单点登录结束 ********************-->

那么我们总结一下上面的这5个过滤器的具体作用吧

序号	              Filter 类	                                         功能
1	  org.jasig.cas.client.session.SingleSignOutFilter	               单点登出
2	  org.jasig.cas.client.authentication.AuthenticationFilter	       用户认证
3     org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter   (超类为AbstractTicketValidationFilter)	对Ticket的校验
4     org.jasig.cas.client.util.HttpServletRequestWrapperFilter	       可选,对HttpServletRequest请求包装,HttpServletRequest的getRemoteUser()方法获得登录用户的登录名 
5	  org.jasig.cas.client.util.AssertionThreadLocalFilter	          可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名,如AssertionHolder.getAssertion().getPrincipal().getName()

为便于描述,后面在解析相关过滤器时会采用编号描述filter。

2. 进入第一个filter:SingleSignOutFilter

此类在client中的org.jasig.cas.client.session包下。

*SingleSignOutFilter.java*

public final class SingleSignOutFilter extends AbstractConfigurationFilter {  public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse,
            final FilterChain filterChain) throws IOException, ServletException {
        final HttpServletRequest request = (HttpServletRequest) servletRequest;
        final HttpServletResponse response = (HttpServletResponse) servletResponse;

        /**
         * <p>Workaround for now for the fact that Spring Security will fail since it doesn't call {@link #init(javax.servlet.FilterConfig)}.</p>
         * <p>Ultimately we need to allow deployers to actually inject their fully-initialized {@link org.jasig.cas.client.session.SingleSignOutHandler}.</p>
         */
        if (!this.handlerInitialized.getAndSet(true)) {
            HANDLER.init();
        }
        //判断登出的处理
        if (HANDLER.process(request, response)) {
            filterChain.doFilter(servletRequest, servletResponse);
        }
    }
}

处理登出是在HANDLER.process()里。因为没有收到登出请求,所以这里什么都没做,进入下一个filter。后续我们再来讲解是如何登出的。

3. 进入第二个filter:AuthenticationFilter

AuthenticationFilter类在org.jasig.cas.client.authentication包下,主要用于CAS单点登录客户端的用户信息获取和判断。

*AuthenticationFilter.java*

public class AuthenticationFilter extends AbstractCasFilter {
    public final void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse,
            final FilterChain filterChain) throws IOException, ServletException {
        
        final HttpServletRequest request = (HttpServletRequest) servletRequest;
        final HttpServletResponse response = (HttpServletResponse) servletResponse;
        
        if (isRequestUrlExcluded(request)) {
            logger.debug("Request is ignored.");
            filterChain.doFilter(request, response);
            return;
        }
        
        final HttpSession session = request.getSession(false);
        final Assertion assertion = session != null ? (Assertion) session.getAttribute(CONST_CAS_ASSERTION) : null;
        //判断session中是否能够获取到客户端的用户信息,如果不为空,跳出本filter,//进入下一个filter
        if (assertion != null) {
            filterChain.doFilter(request, response);
            return;
        }

        final String serviceUrl = constructServiceUrl(request, response);
        final String ticket = retrieveTicketFromRequest(request);
        final boolean wasGatewayed = this.gateway && this.gatewayStorage.hasGatewayedAlready(request, serviceUrl);
        //判断ticket是否为空或者是否要求发送网关请求,如果是,跳出本filter,进入下//一个filter
        if (CommonUtils.isNotBlank(ticket) || wasGatewayed) {
            filterChain.doFilter(request, response);
            return;
        }

        final String modifiedServiceUrl;

        logger.debug("no ticket and no assertion found");
        if (this.gateway) {
            logger.debug("setting gateway attribute in session");
            modifiedServiceUrl = this.gatewayStorage.storeGatewayInformation(request, serviceUrl);
        } else {
            modifiedServiceUrl = serviceUrl;
        }

        logger.debug("Constructed service url: {}", modifiedServiceUrl);
        //如果ticket和assertion都为空,那么就计算重定向到CAS单点登录服务端的地址
        final String urlToRedirectTo = CommonUtils.constructRedirectUrl(this.casServerLoginUrl,
                getProtocol().getServiceParameterName(), modifiedServiceUrl, this.renew, this.gateway);

        logger.debug("redirecting to \"{}\"", urlToRedirectTo);
        //重定向到CAS单点登录服务端,并将客户端地址作为service参数传入
        this.authenticationRedirectStrategy.redirect(request, response, urlToRedirectTo);
}
…………
}

大致三步:
a>判断session是否为空,同时session中是否能获取到assertion,session如果不为空同时可以获取到assertion,跳出本filter,进入下一个filter(在未登录CAS服务端的本例中session为空)。
b>判断ticket是否为空或者是否发送网关请求,如果是,跳出本filter,进入下一个filter(本例在web.xml中的配置都不是)。
c>重定向到服务端,并将客户端地址作为service参数传入。
重定向到服务端地址:
http://localhost:8080/cas/login?service=http%3A%2F%2Flocalhost%3A8088%2Fcas-client%2F
重定向后,后面3个filter就不执行了。
至此,完成了流程图的第2步:
单点登录客户端重定向到服务端

Springboot集成CAS客户端
GongWeiBuQi的博客
01-08 4540
1、pom.xml中添加cas-client-core配置 <!-- https://mvnrepository.com/artifact/org.jasig.cas.client/cas-client-core --> <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>cas-client-core</artifactId> &lt
统一认证CAS以及CAS使用Maven构建
baidu_35160588的博客
02-27 1399
CAS使用Maven构建
ARM SVE指令集中FMA浮点乘加指令详解与应用优化
最新发布
weixin_30480075的博客
05-24 375
浮点乘加(FMA)指令是现代处理器中实现高性能计算的核心指令之一,它通过融合乘法与加法操作,在单条指令内完成a*b+c运算,既减少指令数量又避免中间结果舍入误差。这种设计在科学计算、机器学习等需要高精度浮点运算的场景中尤为重要。ARM架构的SVE指令集针对不同精度需求提供了FMLA和FMLALB两类FMA指令实现,支持从FP8到FP64的多种精度计算。其中FMLALB指令特别优化了混合精度计算,为机器学习中的量化计算提供了硬件级支持。通过合理利用索引访问模式和缩放因子控制,开发者可以在矩阵乘法、深度学习推理
CAS+SSO配置单点登录完整案例
凌枫ozo的博客
08-20 1522
1.jdk-7u67-windows-x64.exe(最好只装一个版本的jdk,避免出现意外错误) 2.apache-tomcat-7.0.76.zip(非安装版) 3.cas-server-4.0.0-release.zip(cas服务端) 4.cas-client-3.2.0-release.zip(cas客户端) 2|0【环境说明】 修改hosts文件添加域名,C:\Windows\System32\drivers\etc\hosts 在文件末端添加下面三条信息: ...
Cas单点登录客户端搭建
numbbe的博客
01-11 3275
目录同花顺Web项目1、加入jar包2、配置web.xml文件3、修改客户端过滤器前后端分离项目1、统一前后端、cas-server2、单点登出功能SpringBoot项目1、cas-client-autoconfig2、cas-client-core3、spring-security-cas-client 同花顺 我们自己的客户端集成Cas单点登录,由于我们的系统已有登录功能及安全框架,所以我们要j集成安全框架Cas。 不管是客户端是什么架构,集成Cas的原理都是一样的,利用cas-client中的过滤
CAS单点登录原理解析及相关配置
顺其自然~专栏
04-07 4926
基于Cookie的单点登录核心原理:将用户名密码加密之后存于Cookie中,之后访问网站时在中校验用户权限,如果没有权限则从Cookie中取出用户名密码进行登录,让用户从某种意义上觉得只登录了一次。该方式缺点就是多次传送用户名密码,增加被盗风险,以及。同时www.qiandu.com与mail.qiandu.com同时拥有登录逻辑的代码,如果涉及到修改操作,则需要修改两处。
SSO(单点登录)实现机制讲解
LIXG425的专栏
07-08 210
http://blog.csdn.net/yan_dk/article/details/7095091 引言          单点登录有许多开发商提供解决方案,本文以yale大学SSO开源项目CAS为例,介绍单点登录实现机制。 术语解释 SSO-Single Sign On,单点登录 TGT-Ticket Granting Ticket,用户身份认证凭证票据 ST-Ser...
后端面试每日一题 如何设计一个单点登录系统?
pCITv1C的博客
05-02 872
既已说到spring cloud alibaba,那对于整个微服务架构,如果想要进一步地向上提升自己,到底应该掌握哪些核心技能呢?就个人而言,对于整个微服务架构,像RPC、Dubbo、Spring Boot、Spring Cloud Alibaba、Docker、kubernetes、Spring Cloud Netflix、Service Mesh等这些都是最最核心的知识,架构师必经之路!下图,是自绘的微服务架构路线体系大纲,如果有还不知道自己该掌握些啥技术的朋友,可根据小编手绘的大纲进行一个参考。
springboot 接入cas-client-core单点登录
an74520的专栏
12-13 7073
1.maven引入相关包 <dependency> <groupId>net.unicon.cas</groupId> <artifactId>cas-client-autoconfig-support</artifactId> <version>1.4.0-GA</version> </de...
CAS单点登录开源框架解读(二)--环境准备
weixin_42268217的博客
11-01 481
为了解读代码,我们首先需要获取到CAS单点登录源码。 源文件及版本     cas-4.2.6.zip     cas-client-core-3.4.1.jar     spring-webflow-2.4.2.RELEASE.zip     spring-framework-4.2.x.zip ...
CAS SSO 单点登录框架 学习
chunao7462的博客
02-28 396
1.了解单点登录 SSO 主要特点是: SSO 应用之间使用 Web 协议(如 HTTPS) ,并且只有一个登录入口. SSO 的体系中有下面三种角色: 1) User(多个) 2) Web 应用(多个) 3) SSO 认证中心(一个) 2.SSO 实现包含以下三个原则 ...
CAS:一、初次client端接入
yanfei_1986的博客
10-04 1707
一、前言 近期,公司项目要与外公司项目对接;外公司CAS服务端项目,本公司业务系统作为client(Struts2+spring+ibatis)接入。由于,现在是演练阶段,我提前学习下CAS server端与client端接入流程,并记录下来;以免以后再次淌坑。 以本公司业务系统client(Struts2+spring+ibatis)为基础演练;cas-client-co...
SpringBoot整合cas客户端
热门推荐
wal1314520的博客
06-18 1万+
最近一个项目要接入一个统一登录平台,对方使用的是cas服务端,我们的项目需要继承cas客户端。我对项目进行了调整,集成cas客户端,具体的步骤如下: 首先要在pom.xml中引入cas的依赖,如下: <!--cas客户端 --> <dependency> <groupId>net.unicon.cas</groupId> &l...
应用系统基于CAS实现单点登录的解决方案
01-29 3230
单点登录 (SingleSign-On,SSO) ,是一种帮助用户快捷访问网络中多个站点的安全通信技术。单点登录系统基于一种安全的通信协议,该协议通过多个系统之间的用户身份信息的交换来实现单点登录。使用单点登录系统时,用户只需要登录一次,就可以访问多个系统,不需要记忆多个口令密码。
cas-client-core单点登录排除不需要拦截的URL
weixin_30752377的博客
09-18 533
  同事提了一个要求,要求对外提供的接口不需要经过单点登录验证,我刚开始想,这简单,提供不需要拦截的url数组,在AuthenticationFilter里面对url进行检查,在此数组内,就不需要拦截。   下面是AuthenticationFilter类的doFilter方法的部分源码: public final void doFilter(final ServletReques...
SSO之CAS客户端搭建配置
qq_15076569的博客
11-02 2927
前言: CAS由两部分构成,CAS客户端及服务端,本文将详细介绍如何搭建CAS客户端。关于CAS登录步骤及服务端搭建请参考前面文章:https://blog.csdn.net/qq_15076569/article/details/83656518 一:创建Maven工程casclient_demo1 1)IDEA创建casclient_demo1 2)修改工程pom.xml文件,引入...
OSS单点登录cas-client-core-3.2.1
emailscott的博客
03-05 8103
1. 添加 cas-client-core-3.2.1.jar 包 &lt;dependency&gt;     &lt;groupId&gt;org.jasig.cas.client&lt;/groupId&gt;     &lt;artifactId&gt;cas-client-core&lt;/artifactId&gt;     &lt;version&gt;3.2.1&lt;/versi...
cas3.5.2客户端配置
huangxinyu_it的专栏
12-03 2016
《5分钟配置cas3.5.2+tomcat7》配置了服务器端,这节课我们来了解客户端的配置。服务器端是指运行cas的web服务器,客户端是指使用cas进行身份认证的项目。 一、cas-client-core-3.2.1.jar 根据《5分钟配置cas3.5.2+tomcat7》配置好服务器端后,运行部署cas的tomcatweb服务器,找到cas/WEB-INF/lib/cas-cli
CAS单点登录(3):cas-4.0.0 客户端配置
Liao Tuo
05-22 2861
新建web工程 添加依赖jar包 cas-client-core-3.2.1.jar commons-logging-1.2.jar Tips: Maven项目直接添加Pom: &lt;dependency&gt; &lt;groupId&gt;org.jasig.cas.client&lt;/groupId&gt; &lt;artifactId&gt...
CAS单点登录开源框架解读(十)--CAS单点登录客户端认证客户端接收服务端认证信息
joeljx的专栏
04-07 1209
客户端如何接收服务端认证信息 上一章节我们分析了CAS服务端是如何产生认证信息的,那么这一章节我们将解析客户端是如何接收服务端的认证信息。这里所说的客户端指的是接入CAS单点登录系统的应用,是一个独立的应用。客户端源码分析都是基于CAS服务端提供的集成包cas-client-core。 1. 返回到CommonUtils.getResponseFromServer() 在我们分析客户端如何接收服...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

行走的一只鞋

你的肯定是对我最大赞赏

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值