CAS认证并限制指定用户的访问

Question

我在 tomcat 6 服务器上运行的客户端 JSF 应用程序中使用 Jasig 的 CAS（中央身份验证服务）。我想仅限制数据库中指定的用户对应用程序的访问，而不是可以使用 CAS 服务进行身份验证的所有用户。当用户尝试登录时，我需要检查他的用户名是否也在我的数据库的表用户中，如果是，则允许访问该应用程序。否则，我想将用户重定向到页面“您无权访问应用程序的这一部分”。所以我也需要授权。 jsf 2.0 有没有好的方法来授权用户？预先感谢您的任何帮助/建议。

Answer 1

听起来您需要在 CAS 中设计一个自定义的身份验证处理程序类。理论上，您的处理程序将扩展此[1]，执行所有必要的检查和数据库查找，然后能够返回一个信号，指示用户是否可以进行身份​​验证。

然后，您应该在 deploerConfigContext.xml 文件中引用您的自定义处理程序。

为了显示消息，您可以使用正确的消息代码抛出异常，以便消息出现在登录表单上方，或者您可以更改 spring webflow 并生成用户将被重定向到的新视图状态，如果他们无法访问。第一种方法更容易实现。

另一种方法是使用 persondir api 来利用 isUserInRole() 方法 [2]。

[1] http://developer.jasig.org/projects/cas/cas-server-core/cas-server/cas-server-core/apidocs/org/jasig/cas/身份验证/handler/support/AbstractUsernamePasswordAuthenticationHandler.html

[2] https:/ /wiki.jasig.org/pages/viewpage.action?pageId=47874068