解决跨网场景下,CAS重定向无法登录的问题(无需修改现有代码)
背景:
使用CAS登录的过程中会涉及到三次重定向,如果在同一个局域网内,是没有任何问题的,但如果涉及到跨网访问(如内网部署、外网访问)就有问题了:
如下图两个红五角星处,外网浏览器要访问的登录页面IP和内网做ticket验证的IP,对cas客户端来说是同一个IP,如果配置的是内网IP,则浏览器无法访问登录页;如配置的是外网IP,则内网客户端无法验证ticket。
解决思路:
因系统已上线,且cas客户端应用比较多,通过改代码的方式比较麻烦,因此需要寻求不改代码的方式来解决问题:
思路一:内网应用配置成外网IP,然后通过iptables的方式在内网服务器上做个映射,将外网IP映射到内网IP上。此种方式可解决“验证ticket”不通的问题,但只能在外网访问,无法通过内网访问。
思路二:内网应用配置成内网IP,然后通过nginx对响应头和响应体中的内网IP替换成外网IP,这样就可以在浏览器上使用外网IP来访问系统了。此方法可在内外网都可以访问。
思路三(推荐):通过域名的方式来访问cas,内外网各部署一个DNS服务器,外网的DNS将域名解析到外网能访问的IP上,内网DNS将域名解析到内网IP上
思路一解决办法:
iptables -t nat -I OUTPUT -d 218.94.x.x -p tcp --dport 8476 -j DNAT --to-destination 10.1.x.x:8088
service iptables save
该方法用于将外网IP和端口转成内网IP和端口
218.94.x.x 和 8476 分别为外网IP和端口
10.1.x.x:8088 为内网IP和端口
思路二解决办法:
通过Nginx对要访问的系统进行代理,把响应头中的重定向Location的地址改成外网能访问到的IP,实现跨网访问。
实现步骤:
1、安装Nginx,安装ngx_headers_more模块(下载路径:https://github.com/openresty/headers-more-nginx-module/tags)
安装方式:进入nginx的tar包解压目录,执行./configure --prefix==/usr/local/nginx --add-module=/home/nginx/ngx_headers_more解压后的目录 --add-module=其他模块如echo模块
上述命令执行完成后,执行make,make install 重新安装nginx
2、配置nginx如下:
#user nobody;
worker_processes 1;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
#高版本的Nginx用这种方式 注意:有的版本中,通过$upstream_http_Location会一直取不到值,可以使用$sent_http_location来代替,$sent_http_location是不带IP的请求路径
map $sent_http_location $location{
~/xxx-cas([\S]+$) http://130.13.11.24:8888/xxx-cas$1;
~/xxx-auth([\S]*$) http://130.13.11.24:8888/xxx-auth$1;
~/zhcx([\S]*$) http://130.13.11.24:8888/zhcx$1;
~/sjpz([\S]*$) http://130.13.11.24:8888/sjpz$1;
default abcd$sent_http_location;
}
#低版本的Nginx用这种方式 注意:有的版本中,通过$upstream_http_Location会一直取不到值,可以使用$sent_http_location来代替,$sent_http_location是不带IP的请求路径
map $upstream_http_Location $location{
~http://192.168.0.10:8088/xxx-cas([\S]+$) http://130.13.11.24:8888/xxx-cas$1;
~http://192.168.0.10:8088/xxx-auth([\S]*$) http://130.13.11.24:8888/xxx-auth$1;
~http://192.168.0.10:8081/zhcx([\S]*$) http://130.13.11.24:8888/zhcx$1;
~http://192.168.0.10:8082/sjpz([\S]*$) http://130.13.11.24:8888/sjpz$1;
default abcd$upstream_http_Location;
}
server {
listen 8080;
server_name localhost;
location /xxx-auth {
proxy_pass http://192.168.0.10:8088;
more_set_headers -s '302' "Location $location";
}
location /xxx-cas {
proxy_pass http://192.168.0.10:8088;
more_set_headers -s '302' "Location $location";
}
location /zhcx {
proxy_pass http://192.168.0.10:8081;
more_set_headers -s '302' "Location $location";
}
location /sjpz {
proxy_pass http://192.168.0.10:8082;
more_set_headers -s '302' "Location $location";
}
}
}
思路三解决办法(推荐):
通过域名的方式来访问cas,内外网各部署一个DNS服务器,外网的DNS将域名解析到外网能访问的IP上,内网DNS将域名解析到内网IP上
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步