我正在查看CAS和Spring Security之间的问题,但我还没有找到确切的情况。我的问题是关于设置Spring Security以使其用户基于CAS。
目前,我们正在修改CAS以访问用户本身,但是,应用程序由Spring Security保护。截至目前,CAS - Spring Security似乎委托我们制作自己的自定义UserService来获取用户,但是如果用户来自CAS本身呢?
有没有办法认识到当CAS发现凭证有效时,Spring Security也会同意它并且什么都不做?或者这不是它应该如何运作?
您有什么建议来解决这个问题?
答案 0 :(得分:0)
您没有提及您正在使用的Spring Security版本,所以我只需要链接到3.1链中的最新版本。 Spring Security CAS Authentication
CAS规范仅需要令牌交换。跟踪经过身份验证的用户的业务是Spring Security的一部分。引用文档中的相关步骤为14和15. Spring Security定义了将AuthenticationProvider委托给UserDetailsService以创建可在整个应用程序中引用的对象的流程。您必须定义UserDetailsService并使其构造一个基本的UserDetails对象,即使该对象仅从CAS身份验证主体中提取用户名。