thumbnail
论如何优雅的将自己的服务接入学校的 CAS 统一认证系统
本文最后更新于 560 天前,其中的信息可能已经有所发展或是发生改变。

论如何优雅的将自己的服务接入学校的 CAS 统一认证系统

起因

前几天跟同学聊起一个希望建立校友交流论坛的想法,讨论之中有人表示如果能用学校的统一认证系统登录的话,就可以大大简化注册门槛。于是我开始研究学校的统一认证系统起来......

了解原理

首先我希望找一个使用统一认证系统的学校服务进行测试,在这里,我选择了学校的一站式服务平台,当在尚未登录账号是访问该网站,则会被跳转至统一认证系统进行认证:

Screenshot 2022-09-15 235451

可以看到此时的网页链接为 https://cas.xaufe.edu.cn/login?service=http%3A%2F%2Fmy.xaufe.edu.cn%2Fcjmh%2FcasAuth%3FredirectUrl%3Dmy.xaufe.edu.cn%2Fnewcjmh,配合尝试登录时浏览器产生的网络流:

image-20220916000314362

我们可以得知,该验证系统在登录通过后会 302 跳转到 service 字段所指向的网址,并在 GET 请求中携带一个 ticket,如此一来,我们就大致得知了这套统一认证系统的大致使用流程。但是截至现在,我们仍未知道 ticket 的作用,为此,我查询了大量资料,最终,在 这个网站 得到了我想要的答案:

image-20220916000801788

也就是说,当服务器拿到 ticket 以后,会立刻向 CAS 服务器的 /serviceValidate 路由发起一个 GET 请求,并携带 serviceticket 参数,最后,服务器将会返回用户信息。

当我们知道了这些全部原理后,我们便可以开始将自己的服务对接到这套统一认证系统中。

实践环节

通过开发一个 Spring Boot Web 应用,我尝试对接了 CAS 系统,但是,在实践环节中,我遇到了几个问题:

首先,我发现 CAS 系统的 service 字段允许提交的网址存在访问控制,当我们尝试使用一个不在白名单内的服务地址时,便会产生访问错误:

image-20220916001302081

但是后来我发现,这只是因为我没有在 service 中提供 http:// 头,加上以后,问题便得到了解决(这也要归功于学校为了方便可能允许了所有 HTTP 服务使用认证)

接下来,当我获得 ticket 并试图访问 /serviceValidate 路由时,我得到了一个 403 错误:

image-20220916001528518

这也就意味着,需要通过校园网络才能正常验证。但是,由于学校提供了 WebVPN,因此我们只需要通过 WebVPN 访问该路由即可。

但当我手动从 WebVPN 访问该路由,并携带正确的 ticket 时,我却总是得到一个无法识别 ticket 的错误。后来经过查询,我得知可能是因为 ticket 从发放到验证的过程有一个 timeout,必须在指定时间内进行验证,否则就会导致 ticket 失效。

因此最后,我编写了一个简单的 Controller:该 Controller 负责识别 ticket 并通过 WebVPN 访问 /serviceValidate 进行验证:

image-20220916001943196

在这个过程中,由于 WebVPN 也同样需要登录,方便起见,我直接抓取了 WebVPN 的 cookie,以绕过登录过程(其实由于 WebVPN 服务也使用统一认证系统,因此这里可以进行两次验证 —— 一次登录 WebVPN,一次登录自己的服务)

最后,在 localhost:8080 运行 Spring Boot 服务,并访问 https://cas.xaufe.edu.cn/login?service=http://localhost:8080/check,我成功得到了用户信息:

image-20220916002545022

至此,我们成功将自己的服务接入到了 CAS 认证系统。

最后

其实这套系统还有其不足的地方,但是无论如何,通过这么一阵子下来,我们成功找到了对接服务器 CAS 统一认证系统的方法,这也方便了日常的使用。

扫码关注 HikariLan's Blog 微信公众号,及时获取最新博文!


微信公众号图片

评论

  1. yy
    Macintosh Chrome 105.0.0.0
    2年前
    2022-9-16 15:59:09

    ticket不就是auth2那个授权码模式吗

    • 博主
      yy
      Windows Edge 105.0.1343.33
      2年前
      2022-9-16 16:54:18

      是,也不尽然。CAS 实际上是一种单点登录(SSO)的实现。这套系统其实本身也提供了 OAuth2 的认证模式,但是我们学校没用,所以只能采用这种方法来对接(

  2. 过路人
    Windows Edge 114.0.1823.82
    8月前
    2023-7-19 14:29:05

    您好,我项目获取到了ticket,但是还是单点失败,没有走写的登录方法,您的过滤器是怎么配置的

    • 博主
      过路人
      Windows Edge 115.0.0.0
      8月前
      2023-7-19 15:12:24

      我觉得这得具体问题具体分析了…

发送评论 编辑评论

|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇