Django - 集成CAS單點登陸

CAS 簡介

CAS 全稱集中式認證服務(Central Authentication Service)，是實現單點登陸(SSO)的一中手段。

CAS 的通信流程圖以下(圖片來自Google圖庫)：

對於本文用戶可感知的層面，認證過程以下：

1. 前端訪問後端登陸接口
2. 後端返回重定向到 CAS 服務器的登陸頁面，並攜帶當前用戶訪問的網頁連接
3. 用戶登陸，瀏覽器發送請求到 CAS 服務器進行認證
4. CAS 認證經過，將本次登陸保存到會話，返回回調地址給後端
5. 後端返回重定向請求給前端
6. 前端重定向到跳轉登陸前的頁面

中間涉及到的 TGT 處理邏輯已經由開源 CAS Client(python-cas) 實現。

要注意，CAS 服務器自己有一些過濾條件，例如域名白名單等，所以接入的時候須要將新系統的域名或 IP 加入 CAS 服務端配置中。

出於安全考慮，CAS 通常不支持跨域，所以先後端分離開發時可能比較麻煩。（彷佛有解決方案，可是何嘗試過）

接入 CAS

由於是第一次接觸 CAS ，爲了方便調試，我在本地直接啓動一個 CAS 服務端用於調試。

CAS 客戶端也就是集成於咱們實際開發的Django代碼中。

CAS 服務端

GitHub 中有不少 CAS 項目，我選了一個基於 Django 的 django-mama-cas 應用。

配置

建立 django-cas-server 項目：

django-admin startproject django-cas-server
複製代碼

安裝 django-mama-cas 依賴：

pip install django-mama-cas
複製代碼

在 INSTALLED_APPS 中添加 'mama_cas' 應用：

settings.py

INSTALLED_APPS = [
    ...
    'mama_cas',
]
複製代碼

添加 mama_cas 應用中的路由：

urls.py

urlpatterns += [url(r'', include('mama_cas.urls'))]
複製代碼

配置 CAS 信息：

MAMA_CAS_SERVICES = [
    {
        # 必填項，此項爲**Client** IP:Port，至關於白名單
        'SERVICE': 'http://127.0.0.1:8000',
        # 回調模式，具體參考官方文檔
        'CALLBACKS': [
            'mama_cas.callbacks.user_model_attributes',
        ],
    },
]
複製代碼

使用

# 使用任意端口均可，此處我使用 30000
python manage.py runserver 0.0.0.0:30000
複製代碼

服務啓動後，能夠訪問 http://0.0.0.0:30000/login 到達 CAS 登陸頁面。

問題來了，用戶名密碼是什麼呢？

我着實花了點時間才解決這個問題————django-mama-cas 默認使用的是 django.auth 模塊 User，使用 django-admin 建立超級用戶，該用戶也就能夠用於登陸 CAS ：

python manage.py createsuperuser
複製代碼

輸入用戶密碼即完成超級用戶建立，接着使用這個用戶登陸便可。

CAS 客戶端

Python 有開源的 CAS 客戶端 python-cas，因爲我使用的 Django 開發後端，所以直接選用封裝好 python-cas 的 Django 應用 django-cas-ng 。

配置

一樣須要先安裝依賴：

pip install django-cas-ng
複製代碼

在 settings.py 中的 INSTALLED_APPS 和 AUTHENTICATION_BACKENDS 兩處添加 django-cas-ng 的配置：

settings.py

INSTALLED_APPS = (
    # ... other installed apps
    'django_cas_ng',
)

AUTHENTICATION_BACKENDS = (
    'django.contrib.auth.backends.ModelBackend',
    'django_cas_ng.backends.CASBackend',
)
複製代碼

同時參考準備接入的 CAS 地址和版本，添加幾個對應的配置：

# CAS 的地址
CAS_SERVER_URL = 'http://127.0.0.1:30000'
# CAS 版本
CAS_VERSION = '3'
# 存入全部 CAS 服務端返回的 User 數據。
CAS_APPLY_ATTRIBUTES_TO_USER = True
複製代碼

添加登入登出的路由（這兩部分邏輯已由 django-cas-ng 完成，能夠直接使用。若是須要擴展，能夠參照源碼本身實現便可）：

urls.py

import django_cas_ng.views as cas_views
urlpatterns = [
    ...
    path('login/', django_cas_ng.views.LoginView.as_view(), name='cas_ng_login'),
    path('logout/', django_cas_ng.views.LogoutView.as_view(), name='cas_ng_logout'),
]
複製代碼

調試

啓動當前服務：

python manage.py runserver
複製代碼

訪問 http://127.0.0.1:8000/login，網頁將會跳轉到 http://127.0.0.1:30000/login?service=http://127.0.0.1:8000 CAS 登陸頁面（注意端口不一樣），登陸成功後將會跳轉回來。

總結

CAS 自己邏輯須要理解，可是畢竟是成熟的單點登陸架構，通常都存在開源的客戶端實現，代碼量很少，多調試多參考文檔配置便可。

參考

• github.com/jbittel/dja…
• django-mama-cas.readthedocs.io
• github.com/mingchen/dj…