2. 程式人生 > >CAS單點登入-客戶端整合(shiro、springboot、jwt、pac4j)(十)

CAS單點登入-客戶端整合(shiro、springboot、jwt、pac4j)(十)

阿新 發佈:2018-12-30

CAS單點登入-客戶端整合(shiro springboot jwt pac4j)(十)

由於我們通常在業務上會有以下的使用場景:

  • 移動端通過業務系統鑑權
  • 移動端免登入(登入一次以後)

解決方案:

  • JWT(token認證方案)
  • OAuth(第三方認證)

PS:若想繼續往下讀,必須具備JWT的基本概念以及Pac4j的認證原理及應用場景

疑問

當然我們這章是講JWT,那麼會有以下的疑問:

  1. 若服務端已經接入了SSO,那麼在移動端使用者登入資訊提交給SSO還是服務端?(毫無疑問是服務端,SSO對於移動端必須是透明的)
  2. 若採用無會話方式,如何獲取token,服務端如何鑑權?(1.提交使用者名稱密碼到服務端,服務端把資料給到sso,sso最終返回使用者資料 2. 根據使用者資料建立token返回給移動端 3. 移動端登入後請求都帶token給到服務端鑑權)
  3. 在使用token鑑權的情況下,退出如何解決?(客戶端丟棄token即可)

鑑權流程

我們再講一下整一個鑑權流程

Created with Raphaël 2.1.0MobileMobileServerServerSSOSSO提交使用者名稱密碼提交使用者名稱密碼鑑權(pac4j)成功返回UserProfile根據profile建立token返回jwt token攜帶token請求資源Shiro Subject.login()鑑權通過返回報文

配置要素

重點:sso必須支援rest認證方式

maven依賴

<dependency>
    <groupId
 
>io.buji</groupId>
    <artifactId>buji-pac4j</artifactId>
    <version>3.0.0</version>
</dependency>
<dependency>
    <groupId>org.pac4j</groupId>
    <artifactId>pac4j-cas</artifactId>
    <version>2.1.0</version>
</dependency
 
>
<dependency>
    <groupId>org.pac4j</groupId>
    <artifactId>pac4j-jwt</artifactId>
    <version>2.1.0</version>
</dependency>
<dependency>
    <groupId>org.pac4j</groupId>
    <artifactId>pac4j-http</artifactId>
    <version>2.1.0</version>
</dependency>

鑑權配置

若馬上看下面的程式碼,估計一時半會看不懂,所以必須再講一下整個交易過程

服務端鑑權過程有兩個個角色分別為,Shiro、Pac4j,那他們的職責是什麼?

Shiro:
判斷當前Subject是否有許可權執行該資源,所以他的核心是Realm、Filter,只有被過濾到的資源才會走到Realm

Pac4j:
1. JWTAuthenticator對token進行鑑別
2. CasRestFormClient 支援通過rest介面傳入使用者名稱密碼進行對sso進行認證獲取UserProfile
3. Pac4jRealm鑑權的realm
4. SubjectFactory需要調整成Pac4jSubjectFactory

ShiroConfiguration.java

/*
 * 版權所有.(c)2008-2017. 卡爾科技工作室
 */

package com.carl.wolf.permission.config;

import io.buji.pac4j.filter.CallbackFilter;
import io.buji.pac4j.filter.LogoutFilter;
import io.buji.pac4j.filter.SecurityFilter;
import io.buji.pac4j.realm.Pac4jRealm;
import io.buji.pac4j.subject.Pac4jSubjectFactory;
import org.apache.shiro.mgt.DefaultSecurityManager;
import org.apache.shiro.mgt.SecurityManager;
import org.apache.shiro.mgt.SubjectFactory;
import org.apache.shiro.realm.Realm;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.spring.web.config.AbstractShiroWebFilterConfiguration;
import org.apache.shiro.spring.web.config.DefaultShiroFilterChainDefinition;
import org.apache.shiro.spring.web.config.ShiroFilterChainDefinition;
import org.pac4j.cas.client.CasClient;
import org.pac4j.cas.client.rest.CasRestFormClient;
import org.pac4j.cas.config.CasConfiguration;
import org.pac4j.cas.config.CasProtocol;
import org.pac4j.core.client.Clients;
import org.pac4j.core.config.Config;
import org.pac4j.http.client.direct.ParameterClient;
import org.pac4j.jwt.config.encryption.SecretEncryptionConfiguration;
import org.pac4j.jwt.config.signature.SecretSignatureConfiguration;
import org.pac4j.jwt.credentials.authenticator.JwtAuthenticator;
import org.pac4j.jwt.profile.JwtGenerator;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.Map;

/**
 * 對shiro的安全配置,是對cas的登入策略進行配置
 *
 * @author Carl
 * @date 2017/9/16
 * @since 1.0.0
 */
@Configuration
public class ShiroConfiguration extends AbstractShiroWebFilterConfiguration {
    @Value("#{ @environment['cas.prefixUrl'] ?: null }")
    private String prefixUrl;
    @Value("#{ @environment['cas.loginUrl'] ?: null }")
    private String casLoginUrl;
    @Value("#{ @environment['cas.callbackUrl'] ?: null }")
    private String callbackUrl;

    //jwt祕鑰
    @Value("${jwt.salt}")
    private String salt;

    @Bean
    public Realm pac4jRealm() {
        return new Pac4jRealm();
    }

    /**
     * cas核心過濾器,把支援的client寫上,filter過濾時才會處理,clients必須在casConfig.clients已經註冊
     *
     * @return
     */
    @Bean
    public Filter casSecurityFilter() {
        SecurityFilter filter = new SecurityFilter();
        filter.setClients("CasClient,rest,jwt");
        filter.setConfig(casConfig());
        return filter;
    }


    /**
     * JWT Token 生成器,對CommonProfile生成然後每次攜帶token訪問
     * @return
     */
    @Bean
    protected JwtGenerator jwtGenerator() {
        return new JwtGenerator(new SecretSignatureConfiguration(salt), new SecretEncryptionConfiguration(salt));
    }


    /**
     * 通過rest介面可以獲取tgt,獲取service ticket,甚至可以獲取CasProfile
     * @return
     */
    @Bean
    protected CasRestFormClient casRestFormClient() {
        CasRestFormClient casRestFormClient = new CasRestFormClient();
        casRestFormClient.setConfiguration(casConfiguration());
        casRestFormClient.setName("rest");
        return casRestFormClient;
    }


    @Bean
    protected Clients clients() {
        //可以設定預設client
        Clients clients = new Clients();

        //token校驗器,可以用HeaderClient更安全
        ParameterClient parameterClient = new ParameterClient("token", jwtAuthenticator());
        parameterClient.setSupportGetRequest(true);
        parameterClient.setName("jwt");
        //支援的client全部設定進去
        clients.setClients(casClient(), casRestFormClient(), parameterClient);
        return clients;
    }

    /**
     * JWT校驗器,也就是目前設定的ParameterClient進行的校驗器,是rest/或者前後端分離的核心校驗器
     * @return
     */
    @Bean
    protected JwtAuthenticator jwtAuthenticator() {
        JwtAuthenticator jwtAuthenticator = new JwtAuthenticator();
        jwtAuthenticator.addSignatureConfiguration(new SecretSignatureConfiguration(salt));
        jwtAuthenticator.addEncryptionConfiguration(new SecretEncryptionConfiguration(salt));
        return jwtAuthenticator;
    }

    @Bean
    protected Config casConfig() {
        Config config = new Config();
        config.setClients(clients());
        return config;
    }

    /**
     * cas的基本設定,包括或url等等,rest呼叫協議等
     * @return
     */
    @Bean
    public CasConfiguration casConfiguration() {
        CasConfiguration casConfiguration = new CasConfiguration(casLoginUrl);
        casConfiguration.setProtocol(CasProtocol.CAS30);
        casConfiguration.setPrefixUrl(prefixUrl);
        return casConfiguration;
    }

    @Bean
    public CasClient casClient() {
        CasClient casClient = new CasClient();
        casClient.setConfiguration(casConfiguration());
        casClient.setCallbackUrl(callbackUrl);
        return casClient;
    }


    /**
     * 路徑過濾設定
     *
     * @return
     */
    @Bean
    public ShiroFilterChainDefinition shiroFilterChainDefinition() {
        DefaultShiroFilterChainDefinition definition = new DefaultShiroFilterChainDefinition();
        definition.addPathDefinition("/callback", "callbackFilter");
        definition.addPathDefinition("/logout", "logoutFilter");
        definition.addPathDefinition("/**", "casSecurityFilter");
        return definition;
    }


    /**
     * 由於cas代理了使用者,所以必須通過cas進行建立物件
     *
     * @return
     */
    @Bean
    protected SubjectFactory subjectFactory() {
        return new Pac4jSubjectFactory();
    }

    /**
     * 對過濾器進行調整
     *
     * @param securityManager
     * @return
     */
    @Bean
    protected ShiroFilterFactoryBean shiroFilterFactoryBean(SecurityManager securityManager) {
        //把subject物件設為subjectFactory
        ((DefaultSecurityManager) securityManager).setSubjectFactory(subjectFactory());
        ShiroFilterFactoryBean filterFactoryBean = super.shiroFilterFactoryBean();
        filterFactoryBean.setSecurityManager(securityManager);

        filterFactoryBean.setFilters(filters());
        return filterFactoryBean;
    }


    /**
     * 對shiro的過濾策略進行明確
     * @return
     */
    @Bean
    protected Map<String, Filter> filters() {
        //過濾器設定
        Map<String, Filter> filters = new HashMap<>();
        filters.put("casSecurityFilter", casSecurityFilter());
        CallbackFilter callbackFilter = new CallbackFilter();
        callbackFilter.setConfig(casConfig());
        filters.put("callbackFilter", callbackFilter);
        LogoutFilter logoutFilter = new LogoutFilter();
        logoutFilter.setConfig(casConfig());
        filters.put("logoutFilter", logoutFilter);
        return filters;
    }
}

token生成

@RequestMapping("/user/login")
public Object login(HttpServletRequest request, HttpServletResponse response) {
    Map<String, Object> model = new HashMap<>();
    J2EContext context = new J2EContext(request, response);
    final ProfileManager<CasRestProfile> manager = new ProfileManager(context);
    final Optional<CasRestProfile> profile = manager.get(true);
    //獲取ticket
    TokenCredentials tokenCredentials = casRestFormClient.requestServiceTicket(serviceUrl, profile.get(), context);
    //根據ticket獲取使用者資訊
    final CasProfile casProfile = casRestFormClient.validateServiceTicket(serviceUrl, tokenCredentials, context);
    //生成jwt token
    String token = generator.generate(casProfile);
    model.put("token", token);
    return new HttpEntity<>(model);
}

由於以上程式碼僅做為學習參考
需要執行該測試,需要下載單點登入程式碼,並且執行,執行教程需要參考

下載程式碼嘗試:GitHub GitHub

執行步驟:
1. 啟動sso
2. 啟動wolf-permission-management

測試

通過使用者名稱密碼非同步請求獲取token

http://localhost:8082/user/login?client_name=rest&username=admin&password=123

返回的json

{
    "token": "eyJjdHkiOiJKV1QiLCJlbmMiOiJBMjU2R0NNIiwiYWxnIjoiZGlyIn0..zDvUm-Q9YhwdvcR1.fz5-ar7FEWEnisDjyjZZ5lgb8xWaS5sffOafYUeZ_-sJJLSx2utoDOK2d1gS8G2oYbg7kbSR_Pcb_m3x3a_awLsoki79LOtk-yI1INWcYJTuF_zY27JPIqAOXF8GFwIc0QzuPke6mLoVUzuwc7ILjvqXg9Z2VA7hWrYJZ1WNsO3UDyPAltq9TXgzl3aJc3XBAUXPNzw8BLUDclTUGs1MnNzjlZYI94qVZgsybZwokkXh1WZ8JEnc7XGtFNJVQOHiIbhSCYJgkjb5xjEtZRRbI7LGSn-kPm99tau68hrR3qbcZofR3lxZ8p-Cta9EHiZ-SQGFg6yBNFSslQnNSoYPuyOo4kFtUgUvG9QJJgwMj8E_sXnixJ4rBkcLuok7mBvkelYr8CbBUyMdZJvwhPCEt9yaBDxJSGL-osWhvseoFFVc9Rp-Egie-NCuUzrygzi2juwMyLLsHybQL6m77rn3Hi_flgAtClUeyuwLbCSQ_Qn2fSz31NCydkxsC7NIsMf-VDiQwQMe9eO3WLcAkr1EAUCyMse61eww9n944350oXhMAQLpShr45AEXNHQ7wls5ZS1Wh6llm4kpQyMh_fwfNEAS7bPBlncKc9rjMloYaQPIkshxh5qysVxPlmWSctGxDdQMzQoJWGaeA9ZXSivF0p_zDAAqM0PAwUPYlBlRkCbO-2I7fapCs-5r0zpZBvYCwYxr4-h1n98x.v8ucroIDOmJbMLLwUkLUow"
}

通過token訪問資源

http://localhost:8082/user/detail?client_name=jwt&token=eyJjdHkiOiJKV1QiLCJlbmMiOiJBMjU2R0NNIiwiYWxnIjoiZGlyIn0..zDvUm-Q9YhwdvcR1.fz5-ar7FEWEnisDjyjZZ5lgb8xWaS5sffOafYUeZ_-sJJLSx2utoDOK2d1gS8G2oYbg7kbSR_Pcb_m3x3a_awLsoki79LOtk-yI1INWcYJTuF_zY27JPIqAOXF8GFwIc0QzuPke6mLoVUzuwc7ILjvqXg9Z2VA7hWrYJZ1WNsO3UDyPAltq9TXgzl3aJc3XBAUXPNzw8BLUDclTUGs1MnNzjlZYI94qVZgsybZwokkXh1WZ8JEnc7XGtFNJVQOHiIbhSCYJgkjb5xjEtZRRbI7LGSn-kPm99tau68hrR3qbcZofR3lxZ8p-Cta9EHiZ-SQGFg6yBNFSslQnNSoYPuyOo4kFtUgUvG9QJJgwMj8E_sXnixJ4rBkcLuok7mBvkelYr8CbBUyMdZJvwhPCEt9yaBDxJSGL-osWhvseoFFVc9Rp-Egie-NCuUzrygzi2juwMyLLsHybQL6m77rn3Hi_flgAtClUeyuwLbCSQ_Qn2fSz31NCydkxsC7NIsMf-VDiQwQMe9eO3WLcAkr1EAUCyMse61eww9n944350oXhMAQLpShr45AEXNHQ7wls5ZS1Wh6llm4kpQyMh_fwfNEAS7bPBlncKc9rjMloYaQPIkshxh5qysVxPlmWSctGxDdQMzQoJWGaeA9ZXSivF0p_zDAAqM0PAwUPYlBlRkCbO-2I7fapCs-5r0zpZBvYCwYxr4-h1n98x.v8ucroIDOmJbMLLwUkLUow

返回

users:admin

下章介紹

最近很多朋友問我,QQ登入、微信登入如何整合,怎麼做?這些都是第三方的登入整合,目前通常的做法都是採用OAuth2協議來解決,cas統稱為代理登入

其實這個問題也延伸出好幾個問題:

  • 業務系統整合OAuth
  • 第三方登入後,使用者繫結(如csdn通過github登入,要求繫結csdn賬號)

我覺得最有意思的是第三點,那麼下一章給大家講解一下,也簡單寫個demo,當然由於國內的網路安全法限制的多,將不採取QQ登入或者微信登入,直接採用GitHub的登入即可,因為都是OAuth2登入,但qq的登入是返回xml,這個是需要另解決的

作者聯絡方式

如果技術的交流或者疑問可以聯絡或者提出issue。

郵箱:[email protected]

QQ: 756884434 (請註明:SSO-CSDN)

相關推薦

CAS登入-客戶整合(shirospringbootjwtpac4j)

CAS單點登入-客戶端整合(shiro springboot jwt pac4j)(十) 由於我們通常在業務上會有以下的使用場景: 移動端通過業務系統鑑權 移動端免登入(登入一次以後) 解決方案: JWT(token認證方案) OAuth(第三方認

Cas登入客戶配置

一直不喜歡說太多東西,直接上程式碼。     主要是以下幾個步驟: 1、專案加入cas-client-core-3.2.1.jar到lib中         2、匯入證書(此步驟根據專案判斷是否需要操作)         3、配置web.xml         4、編寫客戶

cas登入 客戶springboot整合

在springboot專案中實現cas單點登入統一認證,只需要在專案中配置 cas過濾器即可使用. 1. springboot專案pom.xml中 新增web支援依賴 、cas客戶端依賴包 <dependency> <groupId>org

CAS登入客戶服務搭建

一、單點登入簡介 單點登入(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。 CAS 是一個開源的企業級單點登入系統,CAS 包含兩個部分:CAS Serve

CAS登入3cas-4.0.0 客戶配置

新建web工程 新增依賴jar包 cas-client-core-3.2.1.jar commons-logging-1.2.jar Tips: Maven專案直接新增Pom: <dependency> <grou

Cas登入整合shiro版本

/** * shiro登入實現類 * */ //重點是整合CasRealm public class ShiroRealm extends CasRealm { private Logger log = LoggerFactory.getLogger(ShiroRealm.class);

shiro 整合cas登入

一、之前做了cas的單點登入,也做了shiro的許可權角色管理,但是沒有將兩者整合起來,現在做個整合供參考交流。 二、shiro是個比較簡單的許可權框架,可以閱讀官方文件,一步步來,在此只是提示下shiro核心配置就是realm,realm是個父介面,關鍵在專案中如何實現其

1[置頂] CAS登入原始碼解析之【客戶

前期準備: 2.cas-client-3.2.1-release.zip 3.應用系統webapp(http://127.0.0.1:8090/webapp/main.do) 4.CAS單點登入伺服器端(http://127.0.0.1:8081/cas-server/)        

springmvc shiro整合cas登入

pattern value works str 認證 uid -- sched script shiro cas分為登入跟登出 maven依賴: <dependency> <groupId>org.apache.shiro&

第三部分:shiro整合spring使用cas登入配置

第三部分 shiro整合spring使用cas單點登入配置 (一)shiro單點登入   配置的主要目的在於將登入頁面改為${cas.server}?service=${cas.client}/login的形式,service後面為本地的回撥地址。在ca

CAS5.3登入服務搭建與整合springboot

什麼是單點登入 單點登入(Single Sign On),簡稱為 SSO,是目前比較流行的企業業務整合的解決方案之一。SSO的定義是在多個應用系統中,使用者只需要登入一次就可以訪問所有相互信任的應用系統。 SSO是概念,實現SSO需要用到CAS框架 使用cas框架實現單點登陸 有多個不同伺服器的

spring boot + mybatis + shiro + cas 登入

該專案是在shiro(三)的基礎上進行修改的,建議首先將shiro的部分了解一下。 CAS的知識點: 單點登入:簡稱SSO,SSO使得在多個應用系統中,使用者只需要登入一次就可以訪問所有互相信任的應用系統 CAS框架:CAS是實現單點登入的框架。 結構:cas分為兩個部分,CAS S

Go語言專案整合CAS登入

網上有高手開源了一個網盤專案:藍眼雲盤,我一看還行,版權也很寬鬆,是MIT,就用到了專案裡面去。 有個問題就是我們專案採用了CAS作為單點登入,而這個藍眼雲盤有自己的一套登入機制。需要改造一下,將單點登入也整合到雲盤中來。 藍眼雲盤專案伺服器端是用GO語言開發的,前端則用了VUE

SSO登入教程(四)自己動手寫SSO登入服務客戶

作者:藍雄威,叩丁狼教育高階講師。原創文章,轉載請註明出處。一、前言我們自己動手寫單點登入的服務端目的是為了加深對單點登入的理解.如果你們公司想實現單點登入/單點登出功能,推薦使用開源的單點登入框架CAS.我們後面的章節也會帶同學們快速搭建CAS Server和CAS Cli

SpringBoot整合cas登入

注意:(1).  專案使用了lombok工具包            (2).  在CasConfig中配置了原web.xml中cas的過濾器和監聽器 1、(1).  定義一個類CasAutoconfig用於放置cas的一些屬性配置 import org.springfr

Cas登入系統在移動,PC,javaweb以及前後分離等場景下適用

說在前面:本來的cas單點登入系統是專門為javaweb所開發的,所以在支援javaweb,這樣說好彆扭,還是直接用Jsp代替吧,也就是說,我們在jsp方面是基本不用做太大改動的,需要修改認證方式,以及需要驗證票據等為數不多的修改。但是針對於其他方向,我們就該下一些功夫了,

CAS登入系統整合——註冊的問題

最近一段時間在搞CAS單點登入系統,涉及到幾個子系統的整合問題。對於註冊,這裡遇到了一個選擇: 在子系統內完成註冊,然後把資訊同步到CAS系統;在CAS系統中完成基本資訊的註冊,比如:使用者名稱、郵箱、密碼,然後把基本資訊同步到需要這些資訊子系統中 剛開始的時候,自己有點

cas登入整合spring security

在學習security的過程中接觸到了cas,並學習了cas的配置和整合security    Cas伺服器端的配置     一、使用java keytool工具為系統生成Https證書,並註冊 1.刪除已有的證書 C:\Program Files\Java\jdk1.6

CAS登入原始碼解析之【伺服器

前期準備: 2.應用系統webapp1(http://127.0.0.1:8090/webapp1/main.do) 3.應用系統webapp2(http://127.0.0.1:8091/webapp2/main.do) 4.CAS單點登入伺服器端(http://127

CAS統一登入認證(16): openedx 通過oauth2.0接入cas登入

openedx 是流行的開源mooc(慕課)平臺,我這安裝的是edx-ginkgo.2-7版本,cas是5.3.2 這個接入頗費了一番周折,總是設定不成功,因為沒有可以直接參考的案例,只有edx的官方站點有些說明,但都是針對google,facebook,github等賬號的第三方oauth2.