允許在cas中的特定角色

Question

我有一個cas服務器，它可以正確地認證併發送一些屬性。現在我想添加一個服務來檢查主體屬性中的用戶角色，並且只有當登錄用戶具有特定角色（如管理員角色！）時才允許訪問服務。

我讀了'requiredHandlers'，並認爲它可以幫助，但我無法使它工作！

對於服務，我有這樣的事情：

<bean class="org.jasig.cas.services.RegexRegisteredService"> 
     <property name="id" value="1"/> 
     <property name="name" value="Admin panel service"/> 
     <property name="serviceId" value="http://localhost:8080/admin"/> 
     <property name="evaluationOrder" value="0"/> 
     <property name="ignoreAttributes" value="true"/> 
     <property name="requiredHandlers" value="supporterAuthenticationHandler"> <!-- this is what i found so far --> 
     </property> 
    </bean> 

其中supporterAuthenticationHandler在authenticationManager

<bean id="authenticationManager" class="org.jasig.cas.authentication.PolicyBasedAuthenticationManager"> 
    <constructor-arg> 
     <map> 
      <entry key-ref="proxyAuthenticationHandler" value-ref="proxyPrincipalResolver"/> 
      <entry key-ref="primaryAuthenticationHandler"><null /></entry> 
      <entry key-ref="supporterAuthenticationHandler"><null /></entry> 
     </map> 
    </constructor-arg> 

    <property name="authenticationPolicy"> 
     <bean class="org.jasig.cas.authentication.AnyAuthenticationPolicy"/> 
    </property> 
</bean> 

而且supporterAuthenticationHandler定義是的AuthenticationHandler（什麼也沒有實現又一個簡單的FPGA實現

問題是我不能讓cas來檢查supporterAuthenticationHandler所以我可以走得更遠（可能會陷入另一個需要具有屬性的新主體的洞）。

我完全錯了嗎？我應該在我的管理員應用程序中檢查用戶角色嗎？是否有可能通過不同的服務檢查角色？

Answer 1

這就意味着CAS是一種認證服務而不是授權服務。 CAS僅確保用戶是他們所說的他們不是他們在應用程序（服務）中可以做的事情。

請參閱此答案

https://security.stackexchange.com/questions/7623/can-central-authentication-service-cas-do-authorization