我正在查看 CAS 和 Spring Security 之间的问题,但我还没有找到确切的情况。我的问题是关于设置 Spring Security 以使其用户基于 CAS。
目前,我们正在修改 CAS 以访问用户本身,但是,该应用程序由 Spring Security 保护。到目前为止,CAS - Spring Security 似乎委托我们制作自己的自定义 UserService 来获取用户,但是如果用户来自 CAS 本身呢?
有没有办法识别当 CAS 发现凭证有效时,Spring Security 也会同意它并且什么也不做?或者这不是它应该如何工作的?
你有什么建议来解决这个问题?
你没有提到你正在使用的 Spring Security 版本,所以我只是插入一个指向 3.1 链中最新版本的链接。 Spring Security CAS 认证
CAS 规范只需要令牌交换。跟踪认证用户的业务是 Spring Security 的一部分。参考文档中的相关步骤是 14 和 15。 Spring Security 定义流程以使 AuthenticationProvider 委托给 UserDetailsService 以创建可以在整个应用程序中引用的对象。您必须定义一个 UserDetailsService 并让它构造一个基本的 UserDetails 对象,即使该对象只是从 CAS 身份验证主体中提取用户名。