背景

年底的时候有机会开发一个SPA(单页面应用)的项目,那时候须要用到票据的方式能够用Cookie的方式来登录。当是想到了OpenID或者是CAS的方式来做统一认证中心。后来一个安全界的大牛推荐让我用SAML,就走上了一条SAML路。后来因为个人原因离开了那个SPA项目,离开的时候SAML还没有開始做,仅仅是大致上了解一些,后来在工作之余还是把OpenSAML2.X 完好成项目。

项目地址:https://github.com/MrsSunny/SSO-OpenSAML

项目介绍

OpenSAML在网上的资料也不是非常多。在国内用到的应该也不是非常多,自己摸索着做了一下,有可能自己对OpenSAML的理解不够到位

有一起研究的同学发邮箱到liuzhenx@hotmail.com一起学习。假设有错误的地方欢迎指正。 非常感谢。

项目准备

安装Java

安装Maven

安装Eclipse

Maven 配置

配置OpenSAML 依赖

(详细的maven配置能够參考我GitHub上的项目)

  1. <dependency>
  2.     <groupId>org.opensaml</groupId>
  3.     <artifactId>opensaml</artifactId>
  4.     <version>2.6.4</version>
  5. </dependency>

使用方式

OpenSAML提供了几种方式来实现SSO之间SAML传输数据。本文主要对HTTP Artifact Binding 做个简介

项目流程

1.用户訪问SP的受保护资源

2.SP检查是否实用户的Session。假设用则直接訪问

3.假设没有Session上下文SP随机生成Artifact,并生成AuthnRequest

假设在Cookie中发现票据信息,把票据信息放到AuthnRequest其中

4.SP建立Artifact与AuthnRequest的关联信息

5.SP重定向到IDP的接受Artifact接口,用Get方式发送Artifact,和SP在IDP中的注冊ID

6.IDP接受Artifact。然后用HTTP POST方式来请求SP的getAuthnRequest接口(參数为Artifact)

7.SP 接受到IDP传过来的Artifact ,依据Artifact 把关联的AuthnRequest返回给IDP

8.IDP接受到getAuthnRequest然后来验证AuthnRequest的有效性,检查 Status Version 等信息。假设Cookie中的票据不为空,则检查票据是否正确。是否在有效期内。假设票据为空,则重定向用户到登录页面来提交信息。

9.假设票据正确或者用户通过输入usernamepassword等信息通过验证。则IDP生成Artifact对象,IDP生成Response对象,并依据用户信息生成断言,同一时候对Response 中的 断言做签名处理,对票据对象做加密和签名处理,并把票据信息写入Cookie,并建立Artifact与Response的关联关系,并重定向浏览器到SP的getArtifact接口

10. SP 接受到Artifact,并通过HTTP POST的方式把Artifact发送到IDP

11. IDP通过Artifact找到关联的Response对象返回给SP

12.SP接受到IDP传输过来的Response对象。首先对Response中的断言做验签操作。假设通过,则允许用户訪问资源。

⚠️:事实上对于SP和IDP而言重要的信息事实上是AuthnRequest和Response。仅仅只是每次传输到浏览器的时候都是传递的是各自的引用,然后SP和IDP再更具饮用来获取 真实的数据。

这样做安全性可能更高一点,可是添加了SP和IDP之间的通信。

⚠️:其中用到的证书都是自己用OpenSSL自己制定。

參考地址:http://blog.csdn.net/howeverpf/article/details/21622545

SP端发送Artifact的JSP页面

  1. <body>
  2.     <form action="<%=SysConstants.IDPRECEIVESPARTIFACT_URL%>" method="get" name = "autoForm">
  3.         <input type="hidden" name="artifact" value="<%=request.getAttribute(SysConstants.ARTIFACT_KEY)%>" />
  4.         <input type="hidden" name="token" value="<%=request.getAttribute(SysConstants.TOKEN_KEY)%>" />
  5.     </form>
  6. </body>
  7. <script type="text/javascript">
  8.     document.autoForm.submit();
  9. </script>

IDP 端接收Artifact的代码

  1.     // 获取Artifact
  2.     String artifactBase64 = request.getParameter(SysConstants.ARTIFACT_KEY);
  3.     if (null == artifactBase64) {
  4.       throw new RuntimeException("SP端传递的Artifact參数错误,该參数不可为空");
  5.     }
  6.     final ArtifactResolve artifactResolve = samlService.buildArtifactResolve();
  7.     final Artifact artifact = (Artifact) samlService.buildStringToXMLObject(artifactBase64);
  8.     artifactResolve.setArtifact(artifact);
  9.     // 对artifactResolve对象进行签名操作
  10.     samlService.signXMLObject(artifactResolve);
  11.     String artifactParam = samlService.buildXMLObjectToString(artifactResolve);
  12.     String postResult = null;
  13.     //依据Artifact信息从SP中获取Auth Request信息
  14.     try {
  15.       postResult = HttpUtil.doPost(SysConstants.SP_ARTIFACT_RESOLUTION_SERVICE, artifactParam);
  16.     } catch (Exception e) {
  17.       throw new RuntimeException("訪问SP端的:" + SysConstants.SP_ARTIFACT_RESOLUTION_SERVICE + "服务错误" + e.getMessage());
  18.     }
  19.     if (null == postResult || "".equals(postResult)) {
  20.       return "redirect:/loginPage";
  21.     }
  22.     final ArtifactResponse artifactResponse = (ArtifactResponse) samlService.buildStringToXMLObject(postResult);
  23.     final Status status = artifactResponse.getStatus();
  24.     if (null == status) {
  25.       throw new RuntimeException("client的Status不能为空");
  26.     }
  27.     StatusCode statusCode = status.getStatusCode();
  28.     if (null == statusCode) {
  29.       throw new RuntimeException("无法获取statusCode");
  30.     }
  31.     String codeValue = statusCode.getValue();
  32.     // 推断SAML的StatusCode
  33.     if (codeValue == null || !codeValue.equals(StatusCode.SUCCESS_URI)) {
  34.       throw new RuntimeException("无法获取codeValue, 认证失败, SP端数据错误");
  35.     }
  36.     final String inResponseTo = artifactResponse.getInResponseTo();
  37.     final String artifactResolveID = artifactResolve.getID();
  38.     if (null == inResponseTo || !inResponseTo.equals(artifactResolveID)) {
  39.       logger.error("artifact的值和接收端的inResponseTo的值不一致。认证错误");
  40.       throw new RuntimeException("artifact的值和接收端的inResponseTo的值不一致,认证错误");
  41.     }
  42.     final AuthnRequest authnRequest = (AuthnRequest) artifactResponse.getMessage();
  43.     if (authnRequest == null) {
  44.       throw new RuntimeException("无法获取AuthRequest数据。认证错误");
  45.     }
  46.     // 获取SP的消费URL。下一步回调须要用到
  47.     final String customerServiceUrl = authnRequest.getAssertionConsumerServiceURL();
  48.     if (null == customerServiceUrl) {
  49.       throw new RuntimeException("无法获取customerServiceUrl,SP端数据错误");
  50.     }
  51.     request.setAttribute(SysConstants.ACTION_KEY, customerServiceUrl);
  52.     HttpSession session = request.getSession(false);
  53.     session.setAttribute(SysConstants.ACTION_KEY, customerServiceUrl);
  54.     final SAMLVersion samlVersion = authnRequest.getVersion();
  56.     // 推断版本号是否支持
  57.     if (null == samlVersion || !SAMLVersion.VERSION_20.equals(samlVersion)) {
  58.       throw new RuntimeException("SAML版本号错误,仅仅支持2.0");
  59.     }
  61.     final Issuer issuer = authnRequest.getIssuer();
  62.     final String appName = issuer.getValue();
  64.     // 推断issure的里面的值是否在SSO系统中注冊过
  65.     final App app = appService.findAppByAppName(appName.trim());
  66.     if (app == null) {
  67.       throw new RuntimeException("不支持当前系统: " + appName);
  68.     }
  70.     Subject subject = authnRequest.getSubject();
  71.     NameID nameID = subject.getNameID();
  72.     String ticket = nameID.getValue();
  73.     if ("".equals(ticket) || null == ticket) {
  74.       return "redirect:/loginPage";
  75.     }
  76.     try {
  77.       ticket = URLDecoder.decode(ticket, SysConstants.CHARSET);
  78.     } catch (UnsupportedEncodingException e) {
  79.       e.printStackTrace();
  80.     }
  81.     /**
  82.      * 解密ticket
  83.      */
  84.     PrivateKey privateKey = samlService.getRSAPrivateKey();
  85.     String[] afterDecode = null;
  86.     try {
  87.       byte[] ticketArray = Base64.decode(ticket);
  88.       byte[] decryptTicketArray = RSACoder.INSTANCE.decryptByPrivateKey(privateKey, ticketArray);
  89.       String decryptTicket = new String(decryptTicketArray);
  90.       afterDecode = decryptTicket.split(SysConstants.TICKET_SPILT);
  91.     } catch (Exception e) {
  92.       return "redirect:/loginPage";
  93.     }
  94.     logger.debug("Ticket验证痛过");
  95.     // 推断令牌是否过期,假设令牌过期则直接
  96.     if (afterDecode == null || afterDecode.length != 3) {
  97.       return "redirect:/loginPage";
  98.     }
  99.     long expireTime = Long.parseLong(afterDecode[2]);
  100.     long nowTime = System.currentTimeMillis();
  101.     if (expireTime < nowTime) {
  102.       logger.debug("Token已过期");
  103.       return "redirect:/loginPage";
  104.     }
  105.     final Artifact idpArtifact = samlService.buildArtifact();
  106.     final Response samlResponse = samlService.buildResponse(UUIDFactory.INSTANCE.getUUID());
  107.     long id = Long.parseLong(afterDecode[0]);
  108.     User user = new User();
  109.     user.setId(id);
  110.     user.setEmail(afterDecode[1]);
  111.     samlService.addAttribute(samlResponse, user);
  112.     SSOHelper.INSTANCE.put(idpArtifact.getArtifact(), samlResponse);
  113.     request.setAttribute(SysConstants.ARTIFACT_KEY, samlService.buildXMLObjectToString(idpArtifact));
  114.     return "/saml/idp/send_artifact_to_sp";

SP接受Artifact的代码

  1.     String spArtifact = request.getParameter(SysConstants.ARTIFACT_KEY);
  2.     if (null == spArtifact) {
  3.       throw new RuntimeException("无法获取IDP端传过来的Artifact");
  4.     }
  5.     ArtifactResolve artifactResolve = samlService.buildArtifactResolve();
  6.     Artifact artifact = (Artifact) samlService.buildStringToXMLObject(spArtifact);
  7.     artifactResolve.setArtifact(artifact);
  8.     samlService.signXMLObject(artifactResolve);
  9.     String requestStr = samlService.buildXMLObjectToString(artifactResolve);
  10.     String postResult = null;
  11.     try {
  12.       postResult = HttpUtil.doPost(SysConstants.IDP_ARTIFACT_RESOLUTION_SERVICE, requestStr);
  13.     } catch (Exception e) {
  14.       e.printStackTrace();
  15.       logger.error("訪问IDP的" + SysConstants.IDP_ARTIFACT_RESOLUTION_SERVICE + "服务错误");
  16.     }
  17.     if (null == postResult) {
  18.       throw new RuntimeException("从" + SysConstants.IDP_ARTIFACT_RESOLUTION_SERVICE + "服务获取的数据为空,请检查IDP端数据格式");
  19.     }
  20.     ArtifactResponse artifactResponse = (ArtifactResponse) samlService.buildStringToXMLObject(postResult);
  21.     SAMLObject samlObject = artifactResponse.getMessage();
  22.     if (null == samlObject) {
  23.       throw new RuntimeException("无法获取Response信息");
  24.     }
  25.     Response samlResponse = (Response) samlObject;
  26.     List<Assertion> assertions = samlResponse.getAssertions();
  27.     if (null == assertions || assertions.size() == 0) {
  28.       throw new RuntimeException("无法获取断言,请又一次发起请求!!
  32. ");
  33.     }
  34.     Assertion assertion = samlResponse.getAssertions().get(0);
  35.     if (assertion == null) {
  36.       request.setAttribute(SysConstants.ERROR_LOGIN, true);
  37.     } else {
  38.       /**
  39.        * 验证签名
  40.        */
  41.       boolean signSuccess = samlService.validate(assertion);
  42.       if (!signSuccess) {
  43.         throw new RuntimeException("验证签名错误");
  44.       }
  45.       HttpSession session = request.getSession(false);
  46.       List<AttributeStatement> arrtibuteStatements = assertion.getAttributeStatements();
  47.       if (null == arrtibuteStatements || arrtibuteStatements.size() == 0) {
  48.         throw new RuntimeException("无法获取属性列表。请又一次发起请求");
  49.       }
  50.       AttributeStatement attributeStatement = assertion.getAttributeStatements().get(0);
  51.       List<Attribute> list = attributeStatement.getAttributes();
  52.       if (null == list) {
  53.         throw new RuntimeException("无法获取属性列表IDP端错误");
  54.       }
  55.       User user = new User();
  56.       list.forEach(pereAttribute -> {
  57.         String name = pereAttribute.getName();
  58.         XSString value = (XSString) pereAttribute.getAttributeValues().get(0);
  59.         String valueString = value.getValue();
  60.         if (name.endsWith("Name")) {
  61.           user.setName(valueString);
  62.         } else if (name.equals("Id")) {
  63.           user.setId(Long.parseLong(valueString));
  64.         } else if (name.equals("LoginId")) {
  65.           user.setLogin_id(valueString);
  66.         } else if (name.equals("Email")) {
  67.           user.setEmail(valueString);
  68.         }
  69.       });
  70.       session.setAttribute(SysConstants.LOGIN_USER, user);
  71.       putAuthnToSecuritySession("admin", "admin");
  72.       request.setAttribute(SysConstants.ERROR_LOGIN, false);
  73.     }

学习目标

感觉自己认识的不够全面,希望有同学一起研究一下,特别是SP端发送Auth Request的时候,应该带上什么数据,票据是否在这个阶段发送,以及怎么发送。有兴趣的同学能够把GitHub告诉我一起来完好这个项目。

OpenSAML2.X 在SSO系统中的应用的更多相关文章

  1. C#.NET 大型企业信息化系统 - 防黑客攻击 - SSO系统加固优化经验分享

    好久没写文章了,突然间也不知道写什么好了一样,好多人可能以为我死了,写个文章分享一下.证明一下自己还在,很好的活着吧,刷个存在感. 放弃了很多娱乐.休闲.旅游.写文章.看书.陪伴家人,静心默默的用了接 ...

  2. iOS 的 APP 在系统中如何适配不同的屏幕的尺寸

    iOS 的 APP 在系统中如何适配不同的屏幕的尺寸 标签: 2007年,初代iPhone发布,屏幕的宽高是 320 x 480 像素.下文也是按照宽度,高度的顺序排列.这个分辨率一直到iPhone ...

  3. SSO系统的实现

    当一个网站系统比较大型的时候,我们通常采用面向服务的编程,采用分布式的编程.各个子系统共同来实现一个大的系统,这时候登录注册功能的实现也面临着一些问题. 一.WHAT? SSO是什么? sso是单点登 ...

  4. Linux系统中tomcat的安装及优化

    Linux系统中Tomcat 8 安装 Tomcat 8 安装 官网:http://tomcat.apache.org/ Tomcat 8 官网下载:http://tomcat.apache.org/ ...

  5. 单点登录--sso系统

    SSO英文全称Single Sign On,单点登录.SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统.它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制 ...

  6. e3mall商城总结11之sso系统的分析、应用以及解决ajax跨域问题

    说在前面的话 一.sso系统分析 什么是sso系统 SSO英文全称Single Sign On,单点登录.SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统.它包括可以将这次 ...

  7. SpringCloud微服务实战——搭建企业级开发框架(四十):使用Spring Security OAuth2实现单点登录(SSO)系统

    一.单点登录SSO介绍   目前每家企业或者平台都存在不止一套系统,由于历史原因每套系统采购于不同厂商,所以系统间都是相互独立的,都有自己的用户鉴权认证体系,当用户进行登录系统时,不得不记住每套系统的 ...

  8. Linux系统中的Device Mapper学习

    在linux系统中你使用一些命令时(例如nmon.iostat 如下截图所示),有可能会看到一些名字为dm-xx的设备,那么这些设备到底是什么设备呢,跟磁盘有什么关系呢?以前不了解的时候,我也很纳闷. ...

  9. 电商系统中的商品模型的分析与设计—续

    前言     在<电商系统中的商品模型的分析与设计>中,对电商系统商品模型有一个粗浅的描述,后来有博友对货品和商品的区别以及属性有一些疑问.我也对此做一些研究,再次简单的对商品模型做一个介 ...

随机推荐

  1. ELM320 OBD(PWM) to RS232 Interpreter

    http://elmelectronics.com/DSheets/ELM320DS.pdf

  2. Druid 配置_StatFilter

    Druid内置提供一个StatFilter,用于统计监控信息. 1. 别名配置 StatFilter的别名是stat,这个别名映射配置信息保存在druid-xxx.jar!/META-INF/drui ...

  3. TI 28335和AD采集

    使用TI 28335和片外AD7606,一个AD有8个通道可以采集,激活AD采集: #define EXTADLZ0 *(int *)0x4200 // Zone 0, ADC data, ADCH1 ...

  4. apt-get update 和 upgrade 的区别

    http://blog.csdn.net/duyiwuer2009/article/details/26983267

  5. [Xarmrin.IOS]使用Build Host 在Windows上建置IOS程式及DeBug

    使用Xamarin開發IOS程式時, 必須要在Mac上才可以編譯程式,若想在windows系統上編譯,則可透過Build host的方式, 但還是要有一台Mac的電腦就是了XD 首先你的Mac必須要已 ...

  6. BusyBox 简化嵌入式 Linux 系统

    BusyBox 是很多标准 Linux® 工具的一个单个可执行实现.BusyBox 包含了一些简单的工具,例如 cat 和 echo,还包含了一些更大.更复杂的工具,例如 grep.find.moun ...

  7. Xcode的插件的路径

    /Users/dllo/Library/Application\ Support/Developer

  8. android 模拟器无法ping通主机

    很多时候我们通过adb 连接 android 模拟器调试网络程序,也许你能直接访问浏览器,浏览网站,但是却无法ping同局网的一个机器,比如: # ping www.sina.com         ...

  9. SPSS Clementine 数据挖掘入门2

    下面使用Adventure Works数据库中的Target Mail作例子,通过建立分类树和神经网络模型,决策树用来预测哪些人会响应促销,神经网络用来预测年收入. Target Mail数据在SQL ...

  10. 使用YUI+Ant 实现JS CSS压缩

    今天研究了一下YUI yahoo开源框架,感觉很猛啊. 于是乎我做了一个YUI的ant实现,网上好多关于bat的实现,我就另辟蹊径,出个关于这个的ant实现,嘿嘿独一无二的文章,如果转载的话,其注明作 ...