前言

本节的内容为JDBC认证,查找数据库进行验证,其中包括:

  • 密码加密策略(无密码,简单加密,加盐处理)
  • 认证策略(jdbc)

一、业务需求

不同的公司,需求业务需求或者架构不一样导致我们实现验证的方式不一样,那么cas为我们提供了很多认证的模式(当然也可以自定义),其中常用的有:

  • JDBC认证
  • LDAP认证
  • Basic认证
  • Shiro认证
  • Pac4j认证
  • MongoDB认证
  • Rest认证
  • IP黑白名单

还有可能交给第三方认证,例如:微信、QQ、新浪,github等等

当然也有一些公司或者企业也非常的变态,如:

  1. 认证中心不能直接访问账号库,cas也提供功能,可以考虑用REST认证模块来处理这个事情
  2. 老系统账号唯一性不确定,例如 组织+账号 才是唯一值,这时候只能自定义认证器(后面章节会有教程)
  3. 业务系统要求返回用户密码(多属性返回)

二、加密方案

cas支持jdbc校验方案:

  • 根据sql给予用户名进行查询,根据密码字段进行鉴定(select * from table_users where username=?)可判断有效等
  • 通过盐等手段进行编码加密再进行匹配(推荐)
  • 根据sql给予用户名以及密码进行查询(select count(x) from tables_users where username = ? and password=?),不可判断有效期,若数量大于0则成功
  • 根据用户名密码连接数据库,原理是通过jdbc,若连接成功则成功

下文会讲述前两种的配置方法

常用单向加密算法:MD5、SHA、HMAC

一般的加密策略的三种:

  • 单项加密算法(密码)
  • 单向加密算法(密码+动态盐+私有盐)*加密次数(推荐
  • 不加密(不推荐

上述提到的加密方案策略,下面都会一一说明白

三、Jdbc认证

3.1、创建数据库cas,新增一张用户表sys_user

说明:

  • expired字段表示过期,1表示已过期,需要修改密码
  • disabled表示账号是否禁用,1表示禁用

3.2、sys_user表数据

id username password expired email disabled
1 admin 845d5f1153c27beed29f479640445148 0   1
2 jacky caf1a3dfb505ffed0d024130f58c5cfa 1   0
4 zhangsan 68053af2923e00204c3ca7c6a3150cf7 0   0

说明:

  • 如果采用MD5加密,那password就是MD5加密后的密文,sha同样如此
  • admin、jacky、zhangsan明文密码分别是xiaoxiao、321、789

3.2、修改sso-server/pom.xml文件

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"

    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">

    <modelVersion>4.0.0</modelVersion>

    <parent>

        <groupId>com.carl.auth</groupId>

        <artifactId>sso</artifactId>

        <version>1.0.0</version>

        <relativePath>../pom.xml</relativePath>

    </parent>

    <artifactId>sso-server</artifactId>

    <packaging>war</packaging>

    <name>sso-server</name>

    <description>CAS认证服务,负责各系统的鉴权的鉴权</description>

    <dependencies>

        <dependency>

            <groupId>org.apereo.cas</groupId>

            <artifactId>cas-server-webapp-tomcat</artifactId>

            <version>${cas.version}</version>

            <type>war</type>

            <scope>runtime</scope>

        </dependency>

        <!--新增支持jdbc验证-->

        <dependency>

            <groupId>org.apereo.cas</groupId>

            <artifactId>cas-server-support-jdbc</artifactId>

            <version>${cas.version}</version>

        </dependency>

        <!--使用mysql驱动-->

        <dependency>

            <groupId>mysql</groupId>

            <artifactId>mysql-connector-java</artifactId>

            <version>${mysql.version}</version>

        </dependency>

    </dependencies>

    <dependencyManagement>

        <dependencies>

            <dependency>

                <groupId>org.apereo.cas</groupId>

                <artifactId>cas-server-support-bom</artifactId>

                <version>${cas.version}</version>

                <type>pom</type>

                <scope>import</scope>

            </dependency>

        </dependencies>

    </dependencyManagement>

    <build>

        <plugins>

            <plugin>

                <groupId>com.rimerosolutions.maven.plugins</groupId>

                <artifactId>wrapper-maven-plugin</artifactId>

                <version>0.0.5</version>

                <configuration>

                    <verifyDownload>true</verifyDownload>

                    <checksumAlgorithm>MD5</checksumAlgorithm>

                </configuration>

            </plugin>

            <plugin>

                <groupId>org.springframework.boot</groupId>

                <artifactId>spring-boot-maven-plugin</artifactId>

                <version>${springboot.version}</version>

                <configuration>

                    <mainClass>org.springframework.boot.loader.WarLauncher</mainClass>

                    <addResources>true</addResources>

                </configuration>

            </plugin>

            <plugin>

                <groupId>org.apache.maven.plugins</groupId>

                <artifactId>maven-war-plugin</artifactId>

                <version>3.1.0</version>

                <configuration>

                    <warName>cas</warName>

                    <failOnMissingWebXml>false</failOnMissingWebXml>

                    <recompressZippedFiles>false</recompressZippedFiles>

                    <archive>

                        <compress>false</compress>

                        <manifestFile>${project.build.directory}/war/work/org.apereo.cas/cas-server-webapp-tomcat/META-INF/MANIFEST.MF</manifestFile>

                    </archive>

                    <overlays>

                        <overlay>

                            <groupId>org.apereo.cas</groupId>

                            <artifactId>cas-server-webapp-tomcat</artifactId>

                        </overlay>

                    </overlays>

                </configuration>

            </plugin>

            <plugin>

                <groupId>org.apache.maven.plugins</groupId>

                <artifactId>maven-compiler-plugin</artifactId>

                <version>3.3</version>

            </plugin>

        </plugins>

        <finalName>cas</finalName>

    </build>

</project>

 3.3、application.properties新增配置

#jdbc验证配置

#Query Database Authentication 数据库查询校验用户名开始

#查询账号密码sql,必须包含密码字段

cas.authn.jdbc.query[0].sql=select * from sys_user where username=?

#指定上面的sql查询字段名(必须)

cas.authn.jdbc.query[0].fieldPassword=password

#指定过期字段,1为过期,若过期需要修改密码

cas.authn.jdbc.query[0].fieldExpired=expired

#为不可用字段段,1为不可用,

cas.authn.jdbc.query[0].fieldDisabled=disabled

#数据库方言hibernate的知识

cas.authn.jdbc.query[0].dialect=org.hibernate.dialect.MySQLDialect
#数据库驱动 
cas.authn.jdbc.query[0].driverClass=com.mysql.jdbc.Driver
 #数据库连接 
cas.authn.jdbc.query[0].url=jdbc:mysql://localhost:53306/cas?useUnicode=true&characterEncoding=UTF-8
 #数据库用户名 
cas.authn.jdbc.query[0].user=root
 #数据库密码
cas.authn.jdbc.query[0].password=123456
 #默认加密策略,通过encodingAlgorithm来指定算法,默认NONE不加密 
cas.authn.jdbc.query[0].passwordEncoder.type=DEFAULT 
cas.authn.jdbc.query[0].passwordEncoder.characterEncoding=UTF-8 
cas.authn.jdbc.query[0].passwordEncoder.encodingAlgorithm=MD5
 #Query Database Authentication 数据库查询校验用户名结束 #jdbc验证配置

以上配置,如驱动,查询数据库等等需要根据不同的场景进行调整

  • 若密码无加密,调整passwordEncoder.type=NONE
  • 若密码加密策略为SHA,调整passwordEncoder.encodingAlgorithm=SHA
  • 若算法为自定义,实现org.springframework.security.crypto.password.PasswordEncoder接口,并且把类名配置在passwordEncoder.type

3.4、执行流程

例如:输入admin/xiaoxiao

3.5、对密码进行盐值处理再加密,application.properties配置文件修改

#Encode Database Authentication 开始

#加密次数

cas.authn.jdbc.encode[0].numberOfIterations=2

#该列名的值可替代上面的值,但对密码加密时必须取该值进行处理

cas.authn.jdbc.encode[0].numberOfIterationsFieldName=

# 盐值固定列

cas.authn.jdbc.encode[0].saltFieldName=username

#静态盐值

cas.authn.jdbc.encode[0].staticSalt=.

cas.authn.jdbc.encode[0].sql=select * from sys_user_encode where username=?

#对处理盐值后的算法

cas.authn.jdbc.encode[0].algorithmName=MD5

cas.authn.jdbc.encode[0].passwordFieldName=password

cas.authn.jdbc.encode[0].expiredFieldName=expired

cas.authn.jdbc.encode[0].disabledFieldName=disabled

cas.authn.jdbc.encode[0].url=jdbc:hsqldb:mem:cas-hsql-database

cas.authn.jdbc.encode[0].dialect=jdbc:mysql://localhost:53306/cas?useUnicode=true&characterEncoding=UTF-8
cas.authn.jdbc.encode[0].user=root 
cas.authn.jdbc.encode[0].password=123456 
cas.authn.jdbc.encode[0].driverClass=com.mysql.jdbc.Driver

#Encode Database Authentication 结束

4、验证

4.1、输入admin/xiaoxiao

 4.2、输入、jacky/321

4.3、输入zhangsan/789

5、总结 

  • pom.xm配置引入jdbc支持包,和 数据库驱动包
  • application.properties增加数据连接配置和加密方式

欢迎关注

cas单点登录-jdbc认证(三)的更多相关文章

  1. 开例外!微信小程序登录绕过CAS单点登录(SSO)认证检查

    1 为了让微信API能够绕过CAS认证检查,将微信api入口部分设计为独立的模块.放入controller目录下,命名为wechat.java文件为WechatController.java 文件大体 ...

  2. CAS单点登录------未认证授权服务

    问题背景:之前我使用的127.0.0.1进行CAS 直接url 进行过滤! 后来我用nginx 进行反向代理 出现问题:  如下图 第一眼,就在内心想,草这什么鬼! 麻蛋!     ON! 调试了五分 ...

  3. CAS单点登录(SSO)服务端的部署和配置---连接MySQL进行身份认证

    一.修改系统host,加入 127.0.0.1 server.test.com127.0.0.1 client1.test.com127.0.0.1 client2.test.com 二.安装grad ...

  4. 【CAS单点登录视频教程】 第06集【完】 -- Cas认证 学习 票据认证FormsAuthentication

    目录 ----------------------------------------- [CAS单点登录视频教程] 第06集[完] -- Cas认证 学习 票据认证FormsAuthenticati ...

  5. CAS单点登录之mysql数据库用户验证及常见问题

    前面已经介绍了CAS服务器的搭建,详情见:搭建CAS单点登录服务器.然而前面只是简单地介绍了服务器的搭建,其验证方式是原始的配置文件的方式,这显然不能满足日常的需求.下面介绍下通过mysql数据库认证 ...

  6. SSO之CAS单点登录详细搭建教程

    本教程是我个人编写,花费几个小时的时间,给需要学习的人员学习使用,希望能帮助到你们. [环境说明]:本文演示过程在同一个机器上的(也可以在三台实体机器或者三个的虚拟机上),环境如下: windows7 ...

  7. cas系列(一)--cas单点登录基本原理

    (这段时间打算做单点登录,因此研究了一些cas资料并作为一个系列记录下来,一来可能会帮助一些人,二来对我自己所学知识也是一个巩固.) 一.为什么要实现单点登录 随着信息化不断发展,企业的信息化过程是一 ...

  8. CAS单点登录(SSO)完整教程

    转:http://blog.csdn.net/frinder/article/details/7969925 CAS单点登录(SSO)完整教程(2012-02-01更新) 一.教程说明 前言 教程目的 ...

  9. CAS单点登录原理简单介绍

    1. SSO简介 1.1 单点登录定义 单点登录(Single sign on),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统. ...

随机推荐

  1. MySQL -- 全文检索(布尔全文检索)

    modifier的值为in boolean mode的时候,可以使用布尔全文检索.在布尔全文检索中,有些字符在检索字符串的开头或结尾会有特殊含义.在下面的示例中,+和-操作符表明在匹配的时候,单词必须 ...

  2. Linux高速缓冲区原理

    文件系统-高速缓冲区: 首先我们为什么需要高速缓冲区而不是直接访问块设备中的数据.这是因为,IO设备和内存之间的读写速度不匹配而且有一点数据需要写入或者读出磁盘就访问磁盘,磁盘很快就会损坏,而高速缓冲 ...

  3. android Jni NDK开发环境搭建及其简单实例的编写

    android  Jni  NDK开发环境搭建及其简单实例的编写 由于工作需要,需要采用开发想要的JNI,由于之前没有接触过安卓的开发,所以更加网上的帖子,学习了下.遇到了些问题,然后总结下学习过程中 ...

  4. [转] linux(debian)安装USB无线网卡(tp-link TL-WN725N rtl8188eu )

    1: 台式机家里面不想再走线了. 于是去某东买了个USB无线网卡.tp的WN725N  USB,非常小, 和罗技的优联接收器差不多大. 2:  驱动能自己识别是不指望了,既然是usb网卡,插入USB后 ...

  5. es5 温故而知新 创建私有成员、私有变量、特权变量的方法

    其实js是不支持私有变量的.哪怕到es6的class语法.虽然有许多变相的方式.但非常冗余而不推崇. 这里介绍的实际上也不是class语法,而是普通的函数,并且利用IIFE(闭包)的方式来实现私有. ...

  6. Python 爬虫 大量数据清洗 ---- sql语句优化

    . 问题描述 在做爬虫的时候,数据量很大,大约有五百百万条数据,假设有个字段是conmany_name(拍卖公司名称),我们现在需要从五百万条数据里面查找出来五十家拍卖公司, 并且要求字段 time( ...

  7. mysql-8.0.11 比较坑的地方dba门要淡定

    [事件描述] 突然之间大量的连接进入数据库.并放开手干,这个使得mysql使用了大量的内存,触发了linux的oom机制.然后mysql就这样 被linux给干掉了.没错MySQL宕机了,要相信我说的 ...

  8. tuple与list

    tuple是一个引用之后就不可以修改的类型,是一个immutable类型 list是一个mutable的类型,引用之后是可以修改的.同时可以通过索引来修改list中各个元素.这一点是tuple做不到的 ...

  9. 对 /sbin/nologin 的理解

    对 /sbin/nologin 的理解 系统账号的shell使用 /sbin/nologin ,此时无法登陆系统,即使给了密码也不行.   所谓“无法登陆”指的仅是这个用户无法使用bash或其他she ...

  10. nginx 配置http重定向到https

    在80端口的那个server下,添加如下: server_name www.youwebsite.com youwebsite.com; rewrite ^(.*)$ https://$host$1 ...