自定义单点登录页面--在自己的网站使用单点登录进行登录(1)
原文链接
1. 动机
用过 CAS 的人都知道 CAS-Server端是单独部署的,作为一个纯粹的认证中心。在用户每次登录时,都需要进入CAS-Server的登录页填写用户名和密码登录,但是如果存在多个子应用系统时,它们可能都有相应风格的登录页面,我们希望直接在子系统中登录成功,而不是每次都要跳转到CAS的登录页去登录。
2. 开始分析问题
其实仔细想一想,为什么不能直接在子系统中将参数提交至 cas/login 进行登录呢? 于是便找到了CAS在登录认证时主要参数说明:
service [OPTIONAL] 登录成功后重定向的URL地址;
username [REQUIRED] 登录用户名;
password [REQUIRED] 登录密码;
lt [REQUIRED] 登录令牌;
主要有四个参数,其中的三个参数倒好说,最关键的就是 lt , 据官方说明该参数是login ticket id, 主要是在登录前产生的一个唯一的“登录门票”,然后提交登录后会先取得"门票",确定其有效性后才进行用户名和密码的校验,否则直接重定向至 cas/login
页。
于是,便打开CAS-Server的登录页,发现其每次刷新都会产生一个 lt, 其实就是 Spring WebFlow 中的 flowExecutionKey值。 那么问题的关键就在于在子系统中如何获取 lt 也就是登录的ticket?
3. 可能的解决方案
一般对于获取登录ticket的解决方案可能大多数人都会提到两种方法:
- AJAX: 熟悉 Ajax 的可能都知道,它的请求方式是严格按照沙箱安全模型机制的,严格情况下会存在跨域安全问题。
- IFrames: 这也是早期的 ajax 实现方式,在页面中嵌入一个隐藏的IFrame,然后通过表单提交到该iframe来实现不刷新提交,不过使用这种方式同样会带来两个问题: a. 登录成功之后如何摆脱登录后的IFrame呢?如果成功登录可能会导致整个页面重定向,当然你能在form中使
用属性target="_parent",使之弹出,那么你如何在父页面显示错误信息呢?
b. 你可能会受到布局的限止(不允许或不支持iframe)
4. 通过JS重定向来获取login ticket (lt)
当第一次进入子系统的登录页时,通过 JS 进行redirect到cas/login?get-lt=true获取login ticket,然后在该login中的 flow 中检查是否包含get-lt=true的参数,如果是的话则跳转到lt生成页,生成后,并将lt作为该redirect url 中的参数连接,如 remote-login.html?lt=e1s1,然后子系统再通过JS解析当前URL并从参数中取得该lt的值放置登录表单中,即完成 lt 的获取工作。其中进行了两次 redirect 的操作。
5. 开始实践
首先,在我们的子系统中应该有一个登录页面,通过输入用户名和密码提交至cas认证中心。不过前提是先要获取到 login tickt id. 也就是说当用户第一次进入子系统的登录页面时,在该页面中会通过js跳转到 cas/login 中的获取login ticket. 在 cas/login 的 flow 中先会判断请求的参数中是否包含了 get-lt 的参数。
在cas的 login flow 中加入 ProvideLoginTicketAction 的流,主要用于判断该请求是否是来获取 lt,在cas-server端声明获取 login ticket action 类:
com.denger.sso.web.ProvideLoginTicketAction
Java代码
- /**
- * Opens up the CAS web flow to allow external retrieval of a login ticket.
- *
- * @author denger
- */
- public class ProvideLoginTicketAction extends AbstractAction{
- @Override
- protected Event doExecute(RequestContext context) throws Exception {
- final HttpServletRequest request = WebUtils.getHttpServletRequest(context);
- if (request.getParameter("get-lt") != null && request.getParameter("get-lt").equalsIgnoreCase("true")) {
- return result("loginTicketRequested");
- }
- return result("continue");
- }
- }
- // 如果参数中包含 get-lt 参数,则返回 loginTicketRequested 执行流,并跳转至 loginTicket 生成页,否则 则跳过该flow,并按照原始login的流程来执行。
并且将该 action 声明在 cas-servlet.xml 中:
Xml代码
- <bean id="provideLoginTicketAction" class="com.denger.sso.web.ProvideLoginTicketAction" />
还需要定义 loginTicket 的生成页也就是当返回 loginTicketRequested 的 view:
viewRedirectToRequestor.jsp
Java代码
- <%@ page contentType="text/html; charset=UTF-8"%>
- <%@ page import="com.denger.sso.util.CasUtility"%>
- <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
- <%@ taglib prefix="spring" uri="http://www.springframework.org/tags"%>
- <%
- String separator = "";
- // 需要输入 login-at 参数,当生成lt后或登录失败后则重新跳转至 原登录页,并传入参数 lt 和 error_message
- String referer = request.getParameter("login-at");
- referer = CasUtility.resetUrl(referer);
- if (referer != null && referer.length() > 0) {
- separator = (referer.indexOf("?") > -1) ? "&" : "?";
- %>
- <html>
- <title>cas get login ticket</title>
- <head>
- <META http-equiv="Content-Type" content="text/html; charset=UTF-8">
- <script>
- var redirectURL = "<%=referer + separator%>lt=${flowExecutionKey}";
- <spring:hasBindErrors name="credentials">
- var errorMsg = "<c:forEach var="error" items="${errors.allErrors}"><spring:message code="${error.code}" text="${error.defaultMessage}" /></c:forEach>";
- redirectURL += "&error_message=" + encodeURIComponent (errorMsg);
- </spring:hasBindErrors>
- window.location.href = redirectURL;
- </script>
- </head>
- <body></body>
- </html>
- <%
- } else {
- %>
- <script>window.location.href = "/member/login";</script>
- <%
- }
- %>
并且需要将该 jsp 声明在 default._views.properites 中:
Config代码
- ### Redirect with login ticket view
- casRedirectToRequestorView.(class)=org.springframework.web.servlet.view.JstlView
- casRedirectToRequestorView.url=/WEB-INF/view/jsp/default/ui/viewRedirectToRequestor.jsp
相关 com.denger.sso.util.CasUtility 代码:
Java代码
- public class CasUtility {
- /**
- * Removes the previously attached GET parameters "lt" and "error_message"
- * to be able to send new ones.
- *
- * @param casUrl
- * @return
- */
- public static String resetUrl(String casUrl) {
- String cleanedUrl;
- String[] paramsToBeRemoved = new String[] { "lt", "error_message", "get-lt" };
- cleanedUrl = removeHttpGetParameters(casUrl, paramsToBeRemoved);
- return cleanedUrl;
- }
- /**
- * Removes selected HTTP GET parameters from a given URL
- *
- * @param casUrl
- * @param paramsToBeRemoved
- * @return
- */
- public static String removeHttpGetParameters(String casUrl,
- String[] paramsToBeRemoved) {
- String cleanedUrl = casUrl;
- if (casUrl != null) {
- // check if there is any query string at all
- if (casUrl.indexOf("?") == -1) {
- return casUrl;
- } else {
- // determine the start and end position of the parameters to be
- // removed
- int startPosition, endPosition;
- boolean containsOneOfTheUnwantedParams = false;
- for (String paramToBeErased : paramsToBeRemoved) {
- startPosition = -1;
- endPosition = -1;
- if (cleanedUrl.indexOf("?" + paramToBeErased + "=") > -1) {
- startPosition = cleanedUrl.indexOf("?"
- + paramToBeErased + "=") + 1;
- } else if (cleanedUrl.indexOf("&" + paramToBeErased + "=") > -1) {
- startPosition = cleanedUrl.indexOf("&"
- + paramToBeErased + "=") + 1;
- }
- if (startPosition > -1) {
- int temp = cleanedUrl.indexOf("&", startPosition);
- endPosition = (temp > -1) ? temp + 1 : cleanedUrl
- .length();
- // remove that parameter, leaving the rest untouched
- cleanedUrl = cleanedUrl.substring(0, startPosition)
- + cleanedUrl.substring(endPosition);
- containsOneOfTheUnwantedParams = true;
- }
- }
- // wenn nur noch das Fragezeichen vom query string übrig oder am
- // schluss ein "&", dann auch dieses entfernen
- if (cleanedUrl.endsWith("?") || cleanedUrl.endsWith("&")) {
- cleanedUrl = cleanedUrl.substring(0,
- cleanedUrl.length() - 1);
- }
声明:该文观点仅代表作者本人,牛骨文系教育信息发布平台,牛骨文仅提供信息存储空间服务。
- 上一篇: 第三方登录 QQ WEIBO
- 下一篇: DISCUZ 自动登录功能解析
