Spring Boot 3.x + Spring Security 6 实战：手把手教你配置CAS客户端实现单点登录（附完整代码）

Spring Boot 3.x与Spring Security 6深度整合：现代CAS单点登录实战指南

当企业应用系统数量快速增长时，传统分散登录方式带来的体验割裂和运维负担日益凸显。最近在技术社区看到不少开发者讨论Spring Security 6的配置变化，特别是CAS集成这块遇到不少坑。作为经历过多个企业级SSO项目的老兵，今天想分享一套经过生产验证的Spring Boot 3.x + Spring Security 6的CAS客户端配置方案。

1. 环境准备与依赖配置

在开始之前，确保你的开发环境满足以下条件：

• JDK 17或更高版本
• Spring Boot 3.1.5
• Spring Security 6.1.5
• Maven 3.8+或Gradle 8.0+

新建项目时建议使用Spring Initializr生成基础骨架，特别注意要勾选：

• Spring Web
• Spring Security

然后手动添加CAS客户端依赖。对于Maven项目，在pom.xml中添加：

<dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-cas</artifactId> <version>6.1.5</version> </dependency>

这里有个关键点：Spring Security 6开始，许多配置方式发生了本质变化。比如传统的WebSecurityConfigurerAdapter已被移除，取而代之的是基于组件的配置风格。这种变化虽然初期需要适应，但长期来看使配置更加灵活和模块化。

2. 核心配置解析

2.1 应用属性配置

在application.yml中配置CAS服务端和客户端的基本信息：

cas: server: base-url: https://sso.example.com/cas login-url: ${cas.server.base-url}/login logout-url: ${cas.server.base-url}/logout validation-url: ${cas.server.base-url}/p3/serviceValidate client: base-url: http://app1.example.com login-path: /login/cas logout-path: /logout/cas home-path: /

特别注意：Spring Security 6对URL匹配规则做了更严格的校验。如果遇到IllegalArgumentException: Unable to parse configuration attributes错误，通常是因为URL格式不符合新规范。

2.2 安全配置类实现

创建安全配置类时，不再继承WebSecurityConfigurerAdapter，而是直接定义SecurityFilterChainBean：

@Configuration @EnableWebSecurity public class SecurityConfig { @Autowired private CasAuthenticationProvider casAuthenticationProvider; @Autowired private CasAuthenticationEntryPoint authenticationEntryPoint; @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/public/**").permitAll() .anyRequest().authenticated() ) .exceptionHandling(ex -> ex .authenticationEntryPoint(authenticationEntryPoint) ) .addFilterBefore(casAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) .addFilterBefore(singleSignOutFilter(), CasAuthenticationFilter.class); return http.build(); } }

这种配置方式更加函数式，每个配置项都是独立的lambda表达式，提高了代码的可读性和可维护性。

3. CAS核心组件实现

3.1 认证提供者配置

CAS认证提供者是整个流程的核心，负责验证CAS服务端返回的ticket：

@Bean public CasAuthenticationProvider casAuthenticationProvider( ServiceProperties serviceProperties, TicketValidator ticketValidator, UserDetailsService userDetailsService) { CasAuthenticationProvider provider = new CasAuthenticationProvider(); provider.setServiceProperties(serviceProperties); provider.setTicketValidator(ticketValidator); provider.setUserDetailsService(userDetailsService); provider.setAuthenticationUserDetailsService( new CasAuthenticationUserDetailsService() { @Override public UserDetails loadUserDetails(Authentication authentication) { return userDetailsService.loadUserByUsername(authentication.getName()); } }); return provider; }

性能优化提示：在生产环境中，建议实现自定义的UserDetailsService，结合缓存机制减少对用户存储系统的频繁查询。

3.2 Ticket验证器

Spring Security 6对ticket验证过程做了优化，支持更灵活的验证策略：

@Bean public TicketValidator ticketValidator() { Cas30ProxyTicketValidator validator = new Cas30ProxyTicketValidator(casServerBaseUrl); validator.setEncoding("UTF-8"); validator.setProxyCallbackUrl(casClientBaseUrl + "/login/cas"); validator.setProxyGrantingTicketStorage(new ProxyGrantingTicketStorageImpl()); return validator; }

4. 高级配置与疑难解答

4.1 单点注销实现

Spring Security 6改进了单点注销的处理机制，需要特别注意以下几点：

@Bean public SingleSignOutFilter singleSignOutFilter() { SingleSignOutFilter filter = new SingleSignOutFilter(); filter.setCasServerUrlPrefix(casServerBaseUrl); filter.setIgnoreInitConfiguration(true); return filter; } @Bean public LogoutFilter logoutFilter() { LogoutFilter filter = new LogoutFilter( casServerLogoutUrl, new SecurityContextLogoutHandler() ); filter.setFilterProcessesUrl("/logout/cas"); return filter; }

常见问题：如果遇到注销后会话未清除的情况，检查是否配置了正确的SecurityContextLogoutHandler，并确保客户端和服务端的注销URL配置一致。

4.2 跨域与CSRF配置

在前后端分离架构中，需要额外处理跨域和CSRF问题：

@Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("https://frontend.example.com")); configuration.setAllowedMethods(Arrays.asList("GET", "POST")); configuration.setAllowCredentials(true); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } @Bean public CsrfTokenRepository csrfTokenRepository() { CookieCsrfTokenRepository repository = CookieCsrfTokenRepository.withHttpOnlyFalse(); repository.setCookiePath("/"); return repository; }

5. 生产环境最佳实践

在实际项目部署时，我们总结了几条重要经验：

1. HTTPS强制配置：所有CAS相关端点必须启用HTTPS，在配置中明确指定https://协议头
2. 会话超时策略：客户端会话超时应略长于CAS服务端会话超时
3. 监控端点保护：对Spring Boot Actuator端点实施IP白名单限制
4. 日志审计：实现自定义的AuthenticationSuccessHandler记录登录事件

一个典型的审计日志处理器实现：

@Component public class CasAuditSuccessHandler implements AuthenticationSuccessHandler { private static final Logger logger = LoggerFactory.getLogger(CasAuditSuccessHandler.class); @Override public void onAuthenticationSuccess( HttpServletRequest request, HttpServletResponse response, Authentication authentication) { String username = authentication.getName(); String clientIp = request.getRemoteAddr(); String sessionId = request.getSession().getId(); logger.info("CAS login success - user: {}, IP: {}, session: {}", username, clientIp, sessionId); // 重定向到原始请求URL或首页 String targetUrl = determineTargetUrl(request, response); response.sendRedirect(targetUrl); } }

在项目上线前，务必进行全面的安全测试，包括：

• 重放攻击测试
• Ticket时效性验证
• 注销会话传播测试
• 并发登录场景验证

这套配置方案已经在金融和电商领域的多个项目中得到验证，能够稳定支持日均百万级的认证请求。特别是在Spring Security 6的新特性加持下，系统的安全性和可扩展性都有了显著提升。