CAS客户端整合(三) Otrs
OTRS 是用Perl写的一个工单邮件系统,非常强大。
登录流程
流程图略过
otrs没有像 discuz 和 zabbix 类似的游客登录状态,这样处理起来逻辑分支少一些。
不过还是考虑用 otrs 的 session 机制,这样可以在用户已登录的时候减少想 CAS-server 认证的次数。
因此,登录的流程基本跟Zabbix一致
Perl-cas 客户端
perl 没有官方的 cas 客户端代码。网上找到一个比较新的 perlcashttps://subversion.renater.fr/perlcas/trunk/
直接用的话有点问题,需要做点修改。
cas-server 默认使用https协议,因此需要修改 perlcas 的 curl 操作,这里是 get_https2() 方法, 改成 LWP::UserAgent
sub get_https2 {
my $host = shift;
my $port = shift;
my $path = shift;
unless ( eval "require LWP::UserAgent" ) {
$errors = sprintf
"Unable to use LWP library, LWP::UserAgent required, install LWP (CPAN) first\n";
return undef;
}
require LWP::UserAgent;
# user LWP::UserAgent
my $ua = LWP::UserAgent->new(
protocols_allowed => ['http', 'https'],
timeout => 30,
ssl_opt => {
verify_hostname => 0
}
);
$ua->default_header('cookie'=>'');
my $url = 'http://'.$host.':'.$port.$path;
my $response = $ua->get($url);
return $response->{_content};
}
改之前返回的是一个xml列表,改之后变成了一整个xml字符串,因此在callCAS()作以下修改:
sub callCAS {
my $self = shift;
my $url = shift;
my ( $host, $port, $path ) = &_parse_url($url);
my $xml = get_https2(
$host, $port, $path,
{
'cafile' => $self->{'CAFile'},
'capath' => $self->{'CAPath'},
'SSL_version' => $self->{'SSL_version'}
}
);
# use Data::Dumper; die ''.Dumper($xml);
# unless ($xml && $#$xml >= 0) {
# warn $errors;
# return undef;
# }
# ## Skip HTTP header fields
# my $line = shift @$xml;
# while ( $line !~ /^\s*$/ ) {
# $line = shift @$xml;
# }
return &_parse_xml( $xml );
}
修改登录过程
OTRS 的用户登录验证都在 Kernel/System/Web/InterfaceAgent.pm, 根据 OTRS 开发建议,我们复制原文件到 `Custom/Kernel/System/Web/InterfaceAgent.pm',然后再进行修改。
为了方便调用, 增加两个自定义方法:
# logout cas.
# 2017-11-14 by Carl
sub _logoutCAS {
my $Self = shift;
my $ConfigObject = $Kernel::OM->Get('Kernel::Config');
my $ParamObject = $Kernel::OM->Get('Kernel::System::Web::Request');
my $wsCAS = new AuthCAS(
casUrl => "http://cas.cloud.com:8088/cas-server",
);
my $app = 'http://'.$ENV{SERVER_NAME}.$ENV{REQUEST_URI};
# 非常关键,
$app =~ s/\?$ENV{QUERY_STRING}//;
## Redirect the User for login at CAS
## This step is not required if we already have a PGT (Proxy Granting Ticket)
my $login_url = $wsCAS->getServerLogoutURL($app);
my $cookie = $ParamObject->SetCookie(
Key => $ConfigObject->Get('SessionName') || 'SessionID',
Value => '',
Expires => '-1y',
Path => $ConfigObject->Get('ScriptAlias'),
Secure => 0,
HTTPOnly => 1,
);
printf "Set-Cookie: $cookie\nContent-Type: text/html; charset=UTF-8;\nStatus: 302 Found\nLocation: %s\n\n", $login_url;
exit 0;
return 1;
}
# login cas.
# 2017-11-14 by Carl
sub _loginCAS {
my $Self = shift;
my $wsCAS = new AuthCAS(
casUrl => "http://cas.cloud.com:8088/cas-server",
);
my $app = 'http://'.$ENV{SERVER_NAME}.$ENV{REQUEST_URI};
my $login_url = $wsCAS->getServerLoginURL($app);
unless ($ENV{'QUERY_STRING'} =~ /ticket=/) {
## Redirect the User for login at CAS
## This step is not required if we already have a PGT (Proxy Granting Ticket)
my $login_url = $wsCAS->getServerLoginURL($app);
printf "Location: $login_url\n\n";
exit 0;
}
my $ST;
# 非常重要,否则会导致cas-token反复认证失败
$ENV{'QUERY_STRING'} =~ /ticket=([^&]+)/;
$ST = $1;
# very important!
# Remove ST-ticket from query string
$app =~ s/&ticket(=[^&]*)?|\?ticket(=[^&]*)?&?//;
my $User = $wsCAS->validateST($app, $ST);
return $User;
}
首先处理登出请求
# Handle CAS-Server logout request.
# 2017-11-13 by Carl.
if ( $ParamObject->GetParam(Param => 'logoutRequest') || $Param{Action} eq 'Logout' ) {
# logout
# elsif ( $Param{Action} eq 'Logout' ) {
my $LayoutObject = $Kernel::OM->Get('Kernel::Output::HTML::Layout');
# check session id
if ( !$SessionObject->CheckSessionID( SessionID => $Param{SessionID} ) ) {
$Self->_logoutCAS();
return 1;
#... if 分支结束后也要掉用一次,这里省略不表
考虑没有系统session的情况:
# show login site
elsif ( !$Param{SessionID} ) {
# use CAS Auth login
# 2017-11-13 by Carl.
my $User = $Self->_loginCAS();
# login is successful
my %UserData = $UserObject->GetUserData(
User => $User,
Valid => 1
);
这样保证无session的时候必先验证 cas,验证通过才有session。退出系统清除session
然而,这里出现一个bug。因为otrs的session也是写在本地cookie,而调用logout的时候直接重定向到了cas-server。此时本地cookie未被清除。这就是为什么logout方法中需要输出 Set-cookie文件头的原因。(注:此处表现了对http协议还不够熟悉。服务端的logout请求只与cas-client端的web服务器交互,无法影响浏览器客户端的cookie!)
小结
代码仍旧很简单。难点在于除了要分析otrs的登录流程,还需要自己构造perl客户端。
不过正由于如此,反而对cas认证机制有了更清晰的认识。之前虽然修改了几个系统,但是对cas的过程并没有认真分析。
客户端验证cas的时候,先向服务器验证本地isAuthenticated,未成功则发起登录请求。这是第一次302
服务端发现已有用户登录,直接根据客户端请求中的service参数,获取重定向地址,并附带 Server-token 。这是第二次302
客户端收到 server-token 之后,拿这个ST 向服务端发起 curl 请求获取xml用户信息。此时需要一并传入之前发起认证时的客户端url(未带st参数)。
这时如果直接使用 REQUEST_URI (携带了ST参数) 将导致认证失败。
成功的xml:
失败的xml:
php-client 的做法是获取用户信息后写入session, 然后直接再次重定向到没有ST参数的页面. 这是第三次302
如何才能保留cookie机制的同时认证cas?
我的想法是在接受服务端的 logoutRequest的时候清楚数据库中的session(或使之过期)。
但是目前发现,在其他客户端推出的时候,好像收不到服务端的登出通知?
日志中也无法得知
继续探索
============================================================================
【2017-11-17】修复客户端同步退出问题。
查看Apache的access_log发现,其实cas-server有发送 logoutRequest:
经过一个下午的调试研究,终于解决了同步退出的问题,下面是过程:
Otrs的session机制
用户登录后,会在后台sessions表创建大量session变量,当用户推出后,会根据session_id 清空所有变量。
解决方案
既然不能清除浏览器的cookie,那么我们可以清除sessions表里的session_id,从而使从浏览器读取的cookie无法验证通过,达到退出登录的目的。
研究cas-server的POST请求发现,只有一个参数:
logoutRequest: <samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" ID="LR-2105-Kha1YoKgOCpxoCHuPf7qrdYVMTHvH4HYRVK" Version="2.0" IssueInstant="2017-11-17T16:20:03Z"><saml:NameID xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">@NOT_USED@</saml:NameID><samlp:SessionIndex>ST-2105-6fyJS6MtEhRUKsBqECQG-cas.cloud.com</samlp:SessionIndex></samlp:LogoutRequest>
唯一有用的就是里面的ST token。这个在登录的时候也能获取到。
然后需要做的就是吧这个ST 与 Otrs产生的 SessionID 绑定。
我们在登录成功后,创建一个 CasServerToken的 session 变量。然后在退出的时候根据这个变量值查找对应的session_id, 删除这个 session_id.
代码过程
1) 登录的时候保存ST my ($User, $CASST) = $Self->_loginCAS();,在后面创建了SessionID的位置加上:
# login cas. save cas-ST
# 2017-11-17 by Carl.
$SessionObject->UpdateSessionID(
SessionID => $NewSessionID,
Key => 'CasServerToken',
Value => $CASST,
);
2) 处理同步登出请求:
# Handle CAS-Server logout request.
# 2017-11-13 by Carl.
if ( $ParamObject->GetParam(Param => 'logoutRequest') ){
# handle logout request
# read CAS ST ticket from logout request.
my $CasServerToken = $ParamObject->GetParam(Param => 'logoutRequest');
$CasServerToken =~ s/^.*<samlp:SessionIndex>(ST-.*)<\/samlp:SessionIndex>.*$/$1/;
# find current session ID.
my $DBObject = $Kernel::OM->Get('Kernel::System::DB');
$DBObject->Prepare(
SQL => "
SELECT session_id
FROM sessions
WHERE data_key = 'CasServerToken' AND data_value = ?
LIMIT 1 ",
Bind => [ \$CasServerToken ],
);
my @Row = $DBObject->FetchrowArray();
if (my $CasSessionID = $Row[0]) {
# Remove session ID.
$SessionObject->RemoveSessionID( SessionID => $CasSessionID );
}
exit 0;
}
=============================================================
至此,otrs 的cas接入完成。
