- 综合排序
- 最热优先
- 最新优先
- 来自专栏响应式编程
Apereo CAS(三)管理界面
类似cas-server,先下载cas-management-overlay代码,这里使用6.5分支。 $ git clone https://github.com/apereo/cas-management-overlay cas-management $ cd cas-management Apereo支持不同的存储service注册的方式:json文件、JPA、Redis …,这里使用json文件的方式把cas-management注册为cas-server的service,即让cas-manager 可参考官方文档:https://apereo.github.io/cas/6.5.x/services/Service-Management.html#storage implementation "org.apereo.cas { "@class" : "org.apereo.cas.services.RegexRegisteredService", "serviceId" : "^(https|imaps)://.*
2.3K30编辑于 2022-11-08 - 来自专栏响应式编程
Apereo CAS(二)用户认证
我们可以通过etc/cas/config/cas.properties 配置不同的后端存储用来进行用户信息的authentication的校验。 这里使用MongoDB作为用户信息认证的后端存储,参考这里官方文档:https://apereo.github.io/cas/6.5.x/authentication/MongoDb-Authentication.html implementation "org.apereo.cas:cas-server-support-mongo" 1)在MongoDb中保存用户信息 获得密码’md5password’的MD5值,并保存到 @localhost:27017/cas_db cas.authn.mongo.collection=casdb_user # cas.authn.mongo.database-name= # cas.authn.mongo.host = # cas.authn.mongo.user-id= cas.authn.mongo.password-encoder.type=DEFAULT cas.authn.mongo.password-encoder.encoding-algorithm
1.9K11编辑于 2022-11-08 - 来自专栏响应式编程
Apereo CAS(五)支持OAuth2
Apereo CAS 通过使用bridge模式来支持多个协议:CAS、SAML2、OAuth2、OpenID Connect等。 可参考:https://apereo.github.io/cas/6.5.x/protocol/Protocol-Overview.html。 添加依赖库 implementation "org.apereo.cas:cas-server-support-oauth-webflow" 2. implementation "org.apereo.cas:cas-server-support-reports" management.endpoint.oauthTokens.enabled=true { "@class" : "org.apereo.cas.support.oauth.services.OAuthRegisteredService", "clientId": "oauth2DemoClientID
1.7K30编辑于 2022-11-08 - 来自专栏响应式编程
Apereo CAS(一)在本地运行
Apereo CAS,是CAS协议official reference implementation,也差不多是当前开源的SSO解决方案最好、最成熟的一个了。 当前版本是6.5,https://github.com/apereo/cas-overlay-template/tree/6.5。 本以为按照Apereo CAS的官方安装指南能够很容易把cas server在本地跑起来,但最后发现这个文档实操性略差。这里略过基础概念,直接记录一下本地运行的步骤。 git clone https://github.com/apereo/cas-overlay-template.git cas-server git checkout -b 6.5 origin/6.5 ---- Reference: [1]: https://apereo.github.io/cas/6.5.x/index.html [2]: https://github.com/apereo/cas-overlay-template
2.7K30编辑于 2022-11-08 - 来自专栏响应式编程
Apereo CAS(四)MongoDB作为服务注册的存储
可以以不同的方式保存Servcie的注册信息,参考这里获得完整列表:https://apereo.github.io/cas/6.5.x/services/Service-Management.html 这里只记录下如何设置MongoDB作为存储端,官方文档:https://apereo.github.io/cas/6.5.x/services/MongoDb-Service-Management.html 添加依赖 implementation "org.apereo.cas:cas-server-support-mongo-service-registry" 2. "org.apereo.cas:cas-server-support-mongo-service-registry" 同时 删除掉cas.service-registry.json.location ---- Reference: [1]: https://apereo.github.io/cas/6.5.x/services/AutoInitialization-Service-Management.html
79220编辑于 2022-11-08 - 来自专栏LuckySec网络安全
Apereo CAS 4.1 反序列化漏洞复现
0x01 漏洞简介 Apereo CAS 是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统。 影响版本 Apereo CAS <= 4.1.7 0x02 环境准备 使用vulhub复现漏洞环境。 vulhub官网地址:https://vulhub.org cd vulhub/apereo-cas/4.1-rce docker-compose up -d 环境启动后,访问 http://your-ip :8080/cas/login 即可查看到登录页面。 /vulhub/blob/master/apereo-cas/4.1-rce/README.zh-cn.md https://github.com/potats0/CasExp/blob/master/
1.1K40编辑于 2022-11-02 - 来自专栏FreeBuf
Apereo cas 密钥硬编码反序列化漏洞
Apereo cas简介 Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。 CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实现该协议的软件包。 Apereo CAS 4.1.X~4.1.6 默认密钥 Apereo CAS 4.1.7~4.2.X KEY随机生成 漏洞利用与复现 Webflow中使用了默认密钥changeit,所以我们就可以利用默认密钥生成序列化对象 环境:安装了vulhub的kali 工具:apereo-cas-attack、burpsuite Apereo-cas-attaack:使用ysoserial的CommonsCollections4生成加密后的 Payload 启动vulhub中的Apereo cas环境 cd /vulhub/apereo-cas/4.1-rce docker-compose up -d //启动docker环境 使用工具生成
1.8K20编辑于 2023-03-29 - 来自专栏Jack的CVE漏洞复现
Apereo CAS 4.1 反序列化命令执行漏洞
一、Apereo CAS 4.1 反序列化命令执行漏洞! quote 参考文章https://app.nextcyber.cn/courses/46/tasks/589(一)漏洞条件Apereo CAS是一款Apereo发布的集中认证服务平台,常被用于企业内部单点登录系统 该漏洞存在于Apereo CAS 4.1.7版本及之前的所有4.1.x版本中,核心触发条件有两个:默认密钥未修改:Apereo CAS 4.1.x 版本在出厂时内置了一组默认的加密 / 解密密钥(如changeit (二)漏洞原理Apereo CAS 4.1.x 版本的登录流程中,会将用户的登录状态、请求上下文等信息通过 Java 序列化机制转换为二进制数据,并用默认密钥加密后存储在execution参数或会话 Cookie /apereo-cas-attack-1.0-SNAPSHOT-all.jar访问路径http://10.22.97.171:8080/cas/login!
18110编辑于 2025-10-17 - 来自专栏Khan安全团队
利用 CVE-2021-42567,Apereo CAS 上基于 POST 的 XSS
Apereo 的漏洞披露称: 通过发送到 REST API 端点的 POST 请求,CAS 容易受到反射跨站点脚本攻击。可以在 URL 上注入有效负载:/cas/v1/tickets/。 恶意脚本可以通过票证 ID 或用户名等参数提交给 CAS。这导致 CAS 拒绝请求并产生一个响应,其中易受攻击的参数的值被回显,从而导致其执行。 Apereo CAS 拒绝请求并在 HTTP 响应中回显票证 ID 或用户名,而没有清理或转义,而标头“ Content-Type ”是“ text/html ”。 image.png 如果您正在管理 Apereo CAS 服务器,您应该检查服务器的版本并更新到......不是版本 6.3.7.1 和 6.4.2,而是版本6.3.7.4 和 6.4.4.2以缓解这种 image.png 如果您正在管理 Apereo CAS 服务器,您应该检查服务器的版本并更新到......不是版本 6.3.7.1 和 6.4.2,而是版本6.3.7.4 和 6.4.4.2以缓解这种
2K10编辑于 2021-12-30 - 来自专栏Nicky's blog
CAS 5.3.1系列之自定义Shiro认证策略(四)
.*; import org.apereo.cas.authentication.AuthenticationException; import org.apereo.cas.authentication.exceptions.AccountDisabledException import org.apereo.cas.authentication.principal.PrincipalFactory; import org.apereo.cas.services.ServicesManager ; import org.apereo.cas.authentication.AuthenticationEventExecutionPlanConfigurer; import org.apereo.cas.authentication.AuthenticationHandler ; import org.apereo.cas.authentication.PrePostAuthenticationHandler; import org.apereo.cas.authentication.principal.DefaultPrincipalFactory ; import org.apereo.cas.configuration.CasConfigurationProperties; import org.apereo.cas.services.ServicesManager
1.4K40发布于 2020-05-06 - 来自专栏全栈程序员必看
cas 6.2 Incompatible because this component declares an API of a component compatible with Java 11
> Could not resolve org.apereo.cas:cas-server-core-api-configuration-model:6.2.0. Required by: unspecified:unspecified:unspecified > No matching variant of org.apereo.cas Required by: unspecified:unspecified:unspecified > No matching variant of org.apereo.cas > Could not resolve org.apereo.cas:cas-server-core-api-configuration-model:6.2.0. Required by: unspecified:unspecified:unspecified > No matching variant of org.apereo.cas
2K30发布于 2021-04-07 - 来自专栏Nicky's blog
CAS 5.3.1系列之自定义JDBC认证策略(三)
-- Custom Authentication --> <dependency> <groupId>org.apereo.cas</groupId> ; import org.apereo.cas.authentication.*; import org.apereo.cas.authentication.handler.support.AbstractPreAndPostProcessingAuthenticationHandler ; import org.apereo.cas.authentication.principal.PrincipalFactory; import org.apereo.cas.services.ServicesManager ; import org.apereo.cas.authentication.*; import org.apereo.cas.authentication.principal.DefaultPrincipalFactory ; import org.apereo.cas.configuration.CasConfigurationProperties; import org.apereo.cas.services.ServicesManager
1.7K20发布于 2020-05-04 - 来自专栏IT综合技术分享
SSO统一身份认证——CAS Server6.3.x自定义验证逻辑尝试(六)
implementation "org.apereo.cas:cas-server-webapp-init:${casServerVersion}" implementation "org.apereo.cas :cas-server-support-jdbc:${casServerVersion}" implementation "org.apereo.cas:cas-server-support-jdbc-drivers ; import org.apereo.cas.authentication.Credential; import org.apereo.cas.authentication.PreventedException ; import org.apereo.cas.authentication.principal.PrincipalFactory; import org.apereo.cas.services.ServicesManager ; import org.apereo.cas.configuration.CasConfigurationProperties; import org.apereo.cas.services.ServicesManager
2.4K20发布于 2021-07-27 - 来自专栏IT综合技术分享
SSO统一身份认证——在原有页面中增加验证码(十九)
; import org.apereo.cas.web.flow.CasWebflowConstants; import org.apereo.cas.web.flow.configurer.AbstractCasWebflowConfigurer ; import org.apereo.cas.web.flow.CasWebflowConfigurer; import org.apereo.cas.web.flow.CasWebflowExecutionPlan ; import org.apereo.cas.authentication.Credential; import org.apereo.cas.authentication.MessageDescriptor ; import org.apereo.cas.authentication.PreventedException; import org.apereo.cas.authentication.credential.UsernamePasswordCredential import org.apereo.cas.authentication.principal.PrincipalFactory; import org.apereo.cas.services.ServicesManager
1.2K10发布于 2021-11-24 - 来自专栏Lambda
CAS单点登录-动态添加services(七)
https://apereo.github.io/cas/5.3.x/installation/JPA-Service-Management.html https://apereo.github.io <groupId>org.apereo.cas</groupId> <artifactId>cas-server-support-jpa-service-registry</artifactId > <version>${cas.version}</version> </dependency> <dependency> <groupId>org.apereo.cas</groupId > <dependency> <groupId>org.apereo.cas</groupId> <artifactId>cas-server-core-authentication-attributes ; import org.apereo.cas.services.RegisteredService; import org.apereo.cas.services.ReturnAllAttributeReleasePolicy
1.6K41编辑于 2022-04-13 - 来自专栏java编程那点事
CAS5.3.9服务安装
apereo提供了一个基于层结构的框架,可以帮助开发者快速引入cas server的代码,然后实现自由配置或代码覆盖(不侵入源代码),打包方式也非常简单。 Github地址:https://github.com/apereo/cas-overlay-template (我们选择5.3.9版本) 二、什么是CAS?什么是单点登录? CAS是一个单点登录框架,开始是由耶鲁大学的一个组织开发,后来归到apereo去管。 同时CAS也是开源,遵循着apache 2.0协议,代码目前是在github上管理。 需要做如下修改: a.把C:\Users\e3\Desktop\CAS5.3.9\cas-overlay-template-5.3\overlays\org.apereo.cas.cas-server-webapp-tomcat -- 启用json格式的服务注册依赖--> <dependency> <groupId>org.apereo.cas</groupId> <artifactId>
48220编辑于 2023-02-25 - 来自专栏Lambda
CAS单点登录-自定义认证登录策略(五)
; import org.apereo.cas.authentication.MessageDescriptor; import org.apereo.cas.authentication.PreventedException ; import org.apereo.cas.authentication.UsernamePasswordCredential; import org.apereo.cas.authentication.handler.support.AbstractUsernamePasswordAuthenticationHandler ; import org.apereo.cas.authentication.principal.PrincipalFactory; import org.apereo.cas.services.ServicesManager ; import org.apereo.cas.authentication.AuthenticationEventExecutionPlanConfigurer; import org.apereo.cas.authentication.AuthenticationHandler ; import org.apereo.cas.authentication.principal.DefaultPrincipalFactory; import org.apereo.cas.configuration.CasConfigurationProperties
1.8K31编辑于 2022-04-13 - 来自专栏老铁丁D
CAS+Springboot单点登录
>org.apereo.cas</groupId> <artifactId>cas-server-support-actions</artifactId> <version>${cas.version ; import org.apereo.cas.authentication.PreventedException; import org.apereo.cas.authentication.UsernamePasswordCredential ; import org.apereo.cas.authentication.principal.PrincipalFactory; import org.apereo.cas.services.ServicesManager ; import org.apereo.cas.authentication.AuthenticationEventExecutionPlanConfigurer; import org.apereo.cas.authentication.AuthenticationHandler ; import org.apereo.cas.authentication.principal.DefaultPrincipalFactory; import org.apereo.cas.configuration.CasConfigurationProperties
1.6K20编辑于 2022-08-12 - 来自专栏GitHub专栏
单点登录(二)| OAuth 授权框架及 CAS 在为 Web 应用系统提供的解决方案实践
四、部署 Cas: Github地址:https://apereo.github.io/cas/ Overlay版:https://github.com/apereo/cas-overlay-template > <dependency> <groupId>org.apereo.cas</groupId> <artifactId>cas-server-webapp${app.server -- <dependency> <groupId>org.apereo.cas</groupId> <artifactId>cas-server-support-rest groupId>org.apereo.cas</groupId> <artifactId>cas-server-support-jpa-service-registry</artifactId https://apereo.github.io/cas/4.2.x/protocol/CAS-Protocol-Specification.html Cas服务器,在配置文件中添加 # vim /usr
6.4K10发布于 2020-06-18 - 来自专栏IT综合技术分享
SSO统一身份认证——CAS Server6.3.x配置服务存储(十)
// 添加服务注册依赖JSON implementation "org.apereo.cas:cas-server-support-json-service-registry" 注:在我编写本篇教程时发现官方的覆盖模板文件再次迭代 ,因此我进行了项目升级,因此我们这里使用org.apereo.cas下的包时不需要后面追加版本号了,当你进行使用时一定要观察当前你使用版本的写法,以免造成一些包没有有效引用进来。 其内容如下: { "@class": "org.apereo.cas.services.RegexRegisteredService", "serviceId": "^(https|http|imaps Test", "id": 10000002, "description": "这是一个测试授权的地址配置", "accessStrategy" : { "@class" : "org.apereo.cas.services.RemoteEndpointServiceAccessStrategy Server服务,并启动上一节我们创建的CAS 客户端,进行访问客户端地址 显示如上页面,表示着我们已经成功在服务中注册了我们的新CAS客户端。
76820发布于 2021-11-24
腾讯云开发者
