CAS的service参数验证

CAS登录成功后会跳转到service参数提供的url,目前系统中这个参数是没有任何验证的,service参数随便赋一个网址就可以。为安全起见现在对这个service要作一下限制,比如只能是同源url才可以重定向。

下面是基于CAS 3.5.2对系统的改造过程。

系统比较老旧,之前也作过CAS方面的改造,基本思路是从login-webflow.xml中找到切入点,查看源代码,然后在配置文件中把相关的bean替换掉。具体分析过程这里不再赘述。

在argumentExtractorsConfiguration.xml中有

 <util:list id="argumentExtractors">
    <ref bean="casArgumentExtractor" />
    <ref bean="samlArgumentExtractor" />
 </util:list>

把casArgumentExtractor替换成customArgumentExtractor。上面那个配置文件里再加上

<bean id="customArgumentExtractor"
   class="org.jasig.cas.web.support.CustomArgumentExtractor"
     p:httpClient-ref="noRedirectHttpClient"
     p:disableSingleSignOut="${slo.callbacks.disabled:false}" />

这个customArgumentExtractor就是要自己新写的。代码很简单,里面只有一个方法

public final class CustomArgumentExtractor extends AbstractSingleSignOutEnabledArgumentExtractor{

    public WebApplicationService extractServiceInternal(HttpServletRequest request) {
        return CustomWebApplicationServiceImpl.createServiceFrom(request,getHttpClientIfSingleSignOutEnabled());
    }
}

CustomWebApplicationServiceImpl也是要自己写的,基于cas-server-core-3.5.2.jar里的SimpleWebApplicationServiceImpl上修改。

在里面的createServiceFrom方法加上验证即可

    public static CustomWebApplicationServiceImpl createServiceFrom(
            final HttpServletRequest request, final HttpClient httpClient)  {
        final String targetService = request
                .getParameter(CONST_PARAM_TARGET_SERVICE);
        final String method = request.getParameter(CONST_PARAM_METHOD);
        final String serviceToUse = StringUtils.hasText(targetService)
                ? targetService : request.getParameter(CONST_PARAM_SERVICE);

        if (!StringUtils.hasText(serviceToUse)) {
            return null;
        }

        //新加的service同host验证---------------
        try {
            URI url = new URI(serviceToUse);
            if (!host.equals(url.getHost())){ 
                return null;
            }
        } catch (URISyntaxException e) {
            return null;
        }
        //---------------验证结束

        final String id = cleanupUrl(serviceToUse);
        final String artifactId = request.getParameter(CONST_PARAM_TICKET);

        return new CustomWebApplicationServiceImpl(id, serviceToUse,
                artifactId, "POST".equals(method) ? Response.ResponseType.POST
                : Response.ResponseType.REDIRECT, httpClient);
    }

上面的host是配置文件里读的当前系统的域名。这里可以加自己的其他验证逻辑,比如二级子目录、通配符域名或者白名单列表。

 

最后还要修改一个地方,在uniqueIdGenerators.xml里

    <util:map id="uniqueIdGeneratorsMap">
        <entry
            key="org.jasig.cas.authentication.principal.SimpleWebApplicationServiceImpl"
            value-ref="serviceTicketUniqueIdGenerator" />
        <entry
            key="org.jasig.cas.support.openid.authentication.principal.OpenIdService"
            value-ref="serviceTicketUniqueIdGenerator" />
......

把SimpleWebApplicationServiceImpl换成CustomWebApplicationServiceImpl。

 

这样修改之后,当service参数的url跟你配置的域名不一致时,等同于service为null,即未配置。在我的系统里会跳转到一个只是简单提示登录成功的jsp页面。

 

原文链接:https://www.cnblogs.com/lichdr/p/17346151.html

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:CAS的service参数验证 - Python技术站

(0)
上一篇 2023年4月23日
下一篇 2023年4月23日

相关文章

  • Java双冒号(::)运算符使用详解

    Java双冒号(::)运算符使用详解 什么是Java双冒号(::)运算符? Java 8 引入了一种新的运算符double colon (::),也称为双冒号运算符。它可以用在方法或构造函数的引用上,类似于Lambda表达式。 Java双冒号运算符被用来取代Lambda表达式,因为它们比Lambda表达式更加简洁。同时,使用双冒号运算符也会带来更好的性能。 …

    Java 2023年5月26日
    00
  • SpringBoot整合Spring Security过滤器链加载执行流程源码分析(最新推荐)

    下面我来详细讲解一下 SpringBoot 整合 Spring Security 过滤器链加载执行流程源码分析的完整攻略。 1. 概述 Spring Security 是基于 Spring 框架实现的安全框架。它的作用是保护系统的安全性,可以对用户进行身份认证和权限控制。Spring Security 是一个强大而灵活的安全框架,它提供了多种安全特性,包括用…

    Java 2023年6月3日
    00
  • SpringMVC上传文件的两种方法

    在 Spring MVC 中,我们可以使用两种方法来上传文件,分别是使用 MultipartFile 类型的参数和使用 CommonsMultipartResolver 类。本文将详细讲解 Spring MVC 上传文件的两种方法,包括如何使用 MultipartFile 类型的参数和如何使用 CommonsMultipartResolver 类,并提供两个…

    Java 2023年5月18日
    00
  • js-tab选项卡

    下面是关于js-tab选项卡的详细攻略: 什么是js-tab选项卡? js-tab选项卡是一种常见的页面交互效果,用于切换页面上不同部分的内容展示。通常包括多个选项卡(如“首页”、“产品介绍”等)和每个选项卡对应的内容区域,通过点击选项卡来切换对应的内容展示。 实现js-tab选项卡的步骤 要实现js-tab选项卡,可以按照以下步骤进行: HTML结构中准备…

    Java 2023年5月23日
    00
  • java request.getParameter中文乱码解决方法

    标题:Java Request.getParameter中文乱码解决方法 在Java Web编程中,我们经常使用request.getParameter方法获取前端页面提交的参数。但是有时我们会遇到中文参数乱码的情况。本文将介绍Java Request.getParameter中文乱码解决方法。 解决方法一:在get请求中使用UTF-8编码 如果是使用get…

    Java 2023年5月20日
    00
  • 一文秒懂通过JavaCSV类库读写CSV文件的技巧

    一文秒懂通过JavaCSV类库读写CSV文件的技巧 什么是CSV文件 CSV文件(Comma-Separated Values,逗号分隔值)是一种常见的文本格式,用来存储结构化数据,其每行都表示一条记录,每个记录使用逗号或其他分隔符分割字段,每个字段的值可以用引号括起来。 例如,以下CSV文件表示了三个人的基本信息: Name,Age,Gender &quo…

    Java 2023年5月19日
    00
  • 详解Java编写并运行spark应用程序的方法

    详解Java编写并运行Spark应用程序的方法 本文将详细讲解如何使用Java编写并运行Spark应用程序,包括以下内容: 环境搭建 创建Spark应用程序 编写代码 打包和提交应用程序 示例说明 1. 环境搭建 首先,您需要在本地或者远程安装和配置Spark环境。安装和配置Spark环境包括以下几个步骤: 下载Spark安装包 解压安装包 配置环境变量 完…

    Java 2023年5月23日
    00
  • 详解Spring MVC CORS 跨域

    详解Spring MVC CORS 跨域 CORS(Cross-Origin Resource Sharing)是一种Web浏览器的安全机制,用于限制跨域请求。在Spring MVC中,我们可以使用@CrossOrigin注解来处理CORS跨域请求。 @CrossOrigin注解 @CrossOrigin注解是Spring MVC提供的一个注解,它可以用来处…

    Java 2023年5月18日
    00
合作推广
合作推广
分享本页
返回顶部