首页 > 代码库 > (六)SSO之CAS框架扩展 改动CAS源代码实现与ESS动态password验证对接

(六)SSO之CAS框架扩展 改动CAS源代码实现与ESS动态password验证对接


题记:


    偶尔的偶尔我们会听到这个站点的数据泄露了,那个站点的用户数据泄露了。让用户又一次改动登录password,所以,对于用户数据安全性越发的引起我们的重视了,尤其是一些保密性要求高的站点。更须要添加安全性了。


正文:

    对于安全性问题。我们怎样解决呢?

解决方式:

    1、避免sql注入问题。

    2、用户登录password加密。

    3、使用https安全訪问方式。

    4、使用第三方设备。像银行一般使用的password口令。

    5、...

    前三种方案是比較常见的。这里主要说第四种解决方式,我们在前三种方案的基础上。使用了第三方的设备。就像网银那样,须要动态口令,才干够登录进入系统。依据需求。公司使用的第三方设备,ESS设备,须要实如今CAS的基础上实现动态口令password验证功能。也就是又要去修改CAS源代码了,不能说CAS在功能的扩展方面做的不是十分的好。可是在代码的可扩展上还是能够的。

详细需求:

    1、能够动态的切换页面。客户须要使用ESS动态password安全。就切换到ESS页面,用户不须要使用ESS设备就切换到无动态password口令的页面。

    2、在加入用户的时候,如用户须要使用ESS设备,则显示,无需则用户不用看到相关的设备信息。也无须加入与之相应的设备信息。

详细的解决方式:

    为了不去改动很多其它的源代码而引起他的问题,让CAS与ESS设备结合,解决过程例如以下。

    1、动态切换页面

        A  实现页面动态切换,首先须要两个登录页面,以便切换。复制cas的登录页面一份cas\WEB-INF\view\jsp\  复制default目录,重命名为ess。我们将其改名后再放进来。

        B复制并改名cas\WEB-INF\classess下的default_views.properties,在这里改名为ess_views.properties 。打开我们加入的这个文件。将全部default的路径改为ess的路径。也就是改动成我们新建的目录的名称。

C然后打开cas\WEB-INF下的cas.properties。改动cas.viewResolver.basename=ess_views

    2、动态password验证

    加上动态password字段。和增加systemId过程一致:http://blog.csdn.net/lovesummerforever/article/details/38023385,当然在向数据库这验证username和password是否正确之后,须要调用验证ESS设备的接口。来验证动态password(ESS设备的动态password验证,是他的client和server採用一致的算法。这样每一分钟生成同样的动态口令。调用接口来和server做匹配验证)

    3、对于控制输入框的隐藏和显示

把改动配置的变量放到xml文件里或者放在.properties文件里,通过读取配置文件,写入到application或者session中。再界面通过EL表达式或者jstl表达式,取到session或者application中的数据。来推断隐藏或显示。


    总结:

    相信没有解决不了的问题,仅仅要你想解决!办法总比问题多!


(六)SSO之CAS框架扩展 改动CAS源代码实现与ESS动态password验证对接