基于Django集成CAS实现流程详解
前言
单点登录(SingleSignOn,SSO)是指在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
有多种开源的单点登录方案,其中,CAS(CentralAuthenticationService)是YaleUniversity开发的、应用比较广泛的一种实现。
CAS概述
CAS全称集中式认证服务(CentralAuthenticationService),是实现单点登录(SSO)的一种手段。
对于本文用户可感知的层面,认证过程如下:
- 前端访问后端登录接口
- 后端返回重定向到CAS服务器的登录页面,并携带当前用户访问的网页链接
- 用户登录,浏览器发送请求到CAS服务器进行认证
- CAS认证通过,将本次登录保存到会话,返回回调地址给后端
- 后端返回重定向请求给前端
- 前端重定向到跳转登录前的页面
- 中间涉及到的TGT处理逻辑已经由开源CASClient(python-cas)实现。
- 要注意,CAS服务器本身有一些过滤条件,例如域名白名单等,因此接入的时候需要将新系统的域名或IP加入CAS服务端配置中。
接入CAS
因为是第一次接触CAS,为了方便调试,我在本地直接启动一个CAS服务端用于调试。
CAS客户端也就是集成于我们实际开发的Django代码中。
CAS服务端配置
GitHub中有很多CAS项目,我选了一个基于Django的django-mama-cas应用。
创建django-cas-server项目:
django-adminstartprojectdjango-cas-server
安装django-mama-cas依赖:
pipinstalldjango-mama-cas
在INSTALLED_APPS中添加'mama_cas'应用:
settings.py
settings.py INSTALLED_APPS=[ ... 'mama_cas', ]
添加mama_cas应用中的路由:
urls.py
urlpatterns+=[url(r'',include('mama_cas.urls'))]
配置CAS信息:
MAMA_CAS_SERVICES=[
{
#必填项,此项为**Client**IP:Port,相当于白名单
'SERVICE':'http://127.0.0.1:8000',
#回调模式,具体参考官方文档
'CALLBACKS':[
'mama_cas.callbacks.user_model_attributes',
],
},
]
使用
pythonmanage.pyrunserver0.0.0.0:9000
服务启动后,可以访问http://0.0.0.0:9000/login到达CAS登录页面。
django-mama-cas默认使用的是django.auth模块User,使用django-admin创建超级用户,该用户也就可以用于登录CAS:
CAS客户端
Python有开源的CAS客户端python-cas,由于我使用的Django开发后端,因此直接选用封装好python-cas的Django应用django-cas-ng。
先安装依赖:
pipinstalldjango-cas-ng
在settings.py中的INSTALLED_APPS和AUTHENTICATION_BACKENDS两处添加django-cas-ng的配置:
settings.py
INSTALLED_APPS=( #...otherinstalledapps 'django_cas_ng', ) AUTHENTICATION_BACKENDS=( 'django.contrib.auth.backends.ModelBackend', 'django_cas_ng.backends.CASBackend', )
同时参考准备接入的CAS地址和版本,添加几个对应的配置:
#CAS的地址
CAS_SERVER_URL='http://127.0.0.1:30000'
#CAS版本
CAS_VERSION='3'
#存入所有CAS服务端返回的User数据。
CAS_APPLY_ATTRIBUTES_TO_USER=True
添加登入登出的路由(这两部分逻辑已由django-cas-ng完成,可以直接使用。如果需要扩展,可以参照源码自己实现即可):
urls.py
importdjango_cas_ng.viewsascas_views
urlpatterns=[
...
path('login/',django_cas_ng.views.LoginView.as_view(),name='cas_ng_login'),
path('logout/',django_cas_ng.views.LogoutView.as_view(),name='cas_ng_logout'),
]
调试
启动当前服务:
pythonmanage.pyrunserver
访问http://127.0.0.1:8000/login,网页将会跳转到http://127.0.0.1:30000/login?service=http://127.0.0.1:8000CAS登录页面(注意端口不同),登录成功后将会跳转回来。
总结
CAS本身逻辑需要理解,但是毕竟是成熟的单点登录架构,一般都存在开源的客户端实现,代码量不多,多调试多参考文档配置即可。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。