在我们公司,我们部署了多个使用CAS服务器通过SSO保护的Web应用程序。 用户请求应用程序的URL,如果尚未经过身份验证,则会重定向到CAS服务器登录页面。在成功验证的情况下,用户将被重定向回最初请求的URL。共同的工作流程,完美地运作。
但是,我们还希望使用CAS Server保护我们的REST Apis。 我们的首选流程如下:
听起来像OA服务器,CAS服务器确实支持,但用户不会随时要求提供凭据,但我们也希望为服务提供身份验证,即调用我们的API的其他应用程序:
我们希望我们的REST Api应用程序对用户凭据一无所知,甚至无法访问用户数据库,这对于使用该应用程序的人来说效果很好(重定向到CAS登录页面)。
我不知道如何实现此流程,而无需大量自定义CAS服务器并自行实现此行为。
Google将{JWT用于OAuth 2.0 for Server to Server Applications,这似乎是最佳选择。
如果有人能提供一些提示或替代方案(对CAS服务器),我会很感激。也许有人已经使用CAS服务器实现了这种模式,并且可以提供有关此问题的一些信息。
最诚挚的问候, 马可
答案 0 :(得分:8)
最后我们让它以一种简单的方式运作:
CAS服务器上的:
REST端点 / cas /../ token 返回一个JSON对象:
{ serviceTicket: 'ST-ALKSJDFLSJDFLKJ-Ljksdf-sdflkjsf' }
at(基于Spring)CAS客户端(受保护资源):
<bean id="serviceProperties" class="org.springframework.security.cas.ServiceProperties">
<property name="service" value="${cas.service.url}" />
<property name="sendRenew" value="false" />
<property name="authenticateAllArtifacts" value="true"/>
</bean>
现在,想要访问受保护资源的客户端可以
GET /rest/foo/bar HTTP/1.1 Host: www.example.com Authorization: CUSTOM_SCHEME ST-ALKSJDFLSJDFLKJ-Ljksdf-sdflkjsf
由于CAS客户端 CasAuthenticationFilter 在每个请求上获得工件(即 ST ),因此客户端只需一次请求即可进行身份验证。
此外,在CAS服务器上,您可以将 ST 配置为仅对 n 请求有效(CAS客户端请求 serviceValidate的次数 url。
我认为这是一个非常好的方法,无需大规模定制CAS服务器和客户端,并随后创建重要的安全漏洞。
答案 1 :(得分:0)
服务票不是一次性使用的吗?