feat(auth): support standard CAS 2.0/3.0 SSO protocol

[XiaoSeS]

背景

在 #444 的 review 中，我们决定不合并基于私有协议的 SSO 实现，转而支持标准 CAS 2.0/3.0 协议，使 OSS 用户可以对接 Apereo CAS Server、Keycloak CAS adapter 等主流实现。

关联 PR：#444（已关闭）

目标

实现标准 CAS 2.0/3.0 协议的 SSO 登录集成，复用现有 IdentityBindingService 身份映射抽象。

设计要点

协议支持

• CAS 2.0：GET /serviceValidate?ticket=...&service=... → XML 响应
• CAS 3.0：GET /p3/serviceValidate?ticket=...&service=...&format=JSON → JSON 响应
• 优先实现 3.0 JSON 模式，兼容 2.0 XML fallback

架构原则

1. 复用 IdentityBindingService：将 CAS attributes 适配为通用 IdentityClaims（需先将 IdentityBindingService.bindOrCreate 的入参从 OAuthClaims 抽象为 provider-neutral 接口）
2. 复用 OAuthLoginRedirectSupport.sanitizeReturnTo()：防止 open redirect
3. HTTPS 强校验：@PostConstruct 校验 CAS server URL 必须为 HTTPS（或提供显式 escape hatch 用于开发环境）
4. Feature flag：默认 disabled，通过 skillhub.auth.cas.enabled=true 启用

配置项（初步）

skillhub:
  auth:
    cas:
      enabled: false
      server-url: https://cas.example.com  # CAS server base URL
      service-url: https://skillhub.example.com/api/v1/auth/cas/callback
      protocol-version: 3.0  # 2.0 | 3.0
      attributes:
        username: uid          # CAS attribute → platform username
        display-name: cn       # CAS attribute → display name
        email: mail            # CAS attribute → email (optional)

前端

• 登录页新增"CAS 登录"按钮，由 runtime config authCasEnabled 控制显隐
• 复用 feat(auth): add CAS-based SSO login support #444 中 SsoLoginEntry 的 UI 模式

实现步骤

• 重构：将 IdentityBindingService.bindOrCreate(OAuthClaims) 抽象为 IdentityClaims 接口，OAuth 和 CAS 各自实现
• 后端：CasProperties 配置类 + @PostConstruct 校验
• 后端：CasTicketValidator（GET serviceValidate，解析 XML/JSON）
• 后端：CasLoginController（/login 重定向 + /callback 票据验证）
• 后端：CasIdentityClaims 适配器，调用 IdentityBindingService
• 后端：RouteSecurityPolicyRegistry 放行 /api/v1/auth/cas/**
• 前端：CasLoginEntry 组件 + runtime config
• 前端：30-runtime-config.sh 添加 SKILLHUB_WEB_AUTH_CAS_ENABLED
• 测试：CasTicketValidator 单测（mock XML/JSON 响应）
• 测试：CasLoginController 单测（redirect / callback / error）
• 文档：部署文档补充 CAS 配置说明

参考

• Apereo CAS Protocol Specification
• Spring Security CAS

备注

• 如果内部部署需要对接非标准 CAS 协议（如讯飞内部 SSO 网关），建议作为独立私有模块维护，不进 OSS 主干
• 可考虑直接使用 spring-security-cas 模块，但需评估与现有 PlatformSessionService 的集成成本

[github-actions]

Issue Triage

• Route: triage/needs-info
• Priority: priority/p2 (3.2/5)
• Effort: effort/l (4/5)
• Confidence: 2/5
• Risk: high
• Analysis Mode: rules-only

Why

• Touches core SkillHub workflows (review, auth, login).
• Contains urgency signals (security).
• Text suggests a bounded change (typo, docs).
• Issue is missing key context (problem, proposed solution).

High-Risk Signals

• Mentions sensitive areas (auth).

Missing Info

• Please add problem.
• Please add proposed solution.

Next Action

• Wait for more detail, then rerun triage after the author edits the issue or comments /retriage. Missing: problem, proposed solution.

---

问题分流结果

• 路由: triage/needs-info
• 优先级: priority/p2 (3.2/5)
• 修复投入: effort/l (4/5)
• 信息完整度: 2/5
• 风险: 高
• 分析模式: rules-only

原因

• 涉及 SkillHub 核心流程（review, auth, login）
• 包含紧急信号（security）
• 文本显示改动范围较可控（typo, docs）
• 缺少关键上下文（problem, proposed solution）

高风险信号

• 提到敏感区域（auth）

缺失信息

• 请补充 problem.
• 请补充 proposed solution.

下一步

• 等待补充更多信息；作者更新 issue 或评论 /retriage 后重新分流

[kaerwang]

请问，CAS的功能会并到main分支上去吗？