2. 程式人生 > >第三部分:shiro整合spring使用cas單點登入配置

第三部分:shiro整合spring使用cas單點登入配置

阿新 發佈:2019-02-11

第三部分 shiro整合spring使用cas單點登入配置

(一)shiro單點登入

  配置的主要目的在於將登入頁面改為${cas.server}?service=${cas.client}/login的形式,service後面為本地的回撥地址。在cas伺服器端登入成功後,會生成ticket返回給客戶端,客戶端的shiro使用ticket最為憑據儲存起來。
  
  shiro配置單點登陸後,在登出時原始的cas-client只能刪除HttpSession,不能刪除shiro的Session,因此未使用shiro的session管理器。
  如果想啟用shiro的Session管理器,可以參考

Shiro & CAS 實現單點登入
  原有的CasRealm在AuthenticationInfo中只儲存了使用者名稱作為principal,MyCasRealm中重寫了此方法,改為儲存使用者資訊類。
  需要在pom增加依賴,shiro-cas會通過依賴傳遞自動增加cas-client-core-3.2.1的依賴。

<!-- shiro -->
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-spring</artifactId
 
>
    <version>1.2.3</version>
</dependency>
<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-cas</artifactId>
    <version>1.2.3</version>
</dependency>

1、spring-shiro.xml配置

<?xml version="1.0" encoding="UTF-8"?>
 

<beans xmlns="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xmlns:util="http://www.springframework.org/schema/util"
    xmlns:aop="http://www.springframework.org/schema/aop" 
    xmlns:context="http://www.springframework.org/schema/context"
    xsi:schemaLocation="
    http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/util http://www.springframework.org/schema/util/spring-util.xsd
    http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd
    http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd
    " default-lazy-init="false">
    <description>Shiro安全配置</description>

    <!-- 快取管理器 -->
    <bean id="cacheManager" class="com.whty.framework.base.common.cache.SpringCacheManagerWrapper">
        <property name="cacheManager" ref="springCacheManager"/>
    </bean>

    <!-- Realm實現 -->
    <bean id="casRealm" class="com.whty.oim.base.shiro.MyCasRealm">
        <property name="cachingEnabled" value="true"/>
        <property name="authenticationCachingEnabled" value="true"/>
        <property name="authenticationCacheName" value="authenticationCache"/>
        <property name="authorizationCachingEnabled" value="true"/>
        <property name="authorizationCacheName" value="authorizationCache"/>
        <!-- CAS Server -->
        <property name="casServerUrlPrefix" value="${cas.server}"/>
        <!-- 客戶端的回撥地址設定,必須和下面的shiro-cas過濾器攔截的地址一致 -->
        <property name="casService" value="${cas.client}/login"/>
    </bean>

    <bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory"/>
    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm" ref="casRealm"/>
        <!-- <property name="sessionManager" ref="sessionManager"/> -->
        <property name="cacheManager" ref="cacheManager"/>
        <!-- sessionMode引數設定為native時,那麼shrio就將使用者的基本認證資訊儲存到預設名稱為shiro-activeSessionCache 的Cache中 -->
        <!--<property name="sessionMode" value="native" />-->
        <property name="subjectFactory" ref="casSubjectFactory"/>
    </bean>

    <!-- 相當於呼叫SecurityUtils.setSecurityManager(securityManager) -->
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>

    <bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
        <!-- 配置驗證錯誤時的失敗頁面  -->
        <property name="failureUrl" value="${cas.client}"/>
    </bean>

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <!-- 設定角色的登入連結,這裡為cas登入頁面的連結可配置回撥地址  -->
        <property name="loginUrl" value="${cas.server}?service=${cas.client}/login" />
        <property name="successUrl" value="/index" />
        <property name="unauthorizedUrl" value="/"/> 
        <property name="filters">
            <util:map>
                <!-- <entry key="authc" value-ref="authcFilter"/>
                <entry key="captchaFilter" value-ref="captchaFilter"/> -->
                <!-- 新增casFilter到shiroFilter -->
                <entry key="cas" value-ref="casFilter"/>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
            /logout = logout
            /login = cas
            /** = user
            </value>
        </property>
    </bean>


    <!--保證實現了Shiro內部lifecycle函式的bean執行 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

</beans>

2、cas.properties

3、自定義Realm實現

  主要修改了CasRealm的doGetAuthenticationInfo()方法,CasRealm預設只儲存了username,本系統改為儲存ShiroUser物件。

public class MyCasRealm extends CasRealm {

    Logger logger = LoggerFactory.getLogger(MyCasRealm.class);

    @Autowired
    private UcsUserService ucsUserService;

    @Autowired
    private UcsRoleService ucsRoleService;

    @Autowired
    private UcsPermissionService ucsPermissionService;

    @Value("${domain}")
    private String domain;

    /**
     * 授權查詢回撥函式, 進行鑑權但快取中無使用者的授權資訊時呼叫.
     * 
     * @see org.apache.shiro.realm.AuthorizingRealm#doGetAuthorizationInfo(org.apache.shiro.subject.PrincipalCollection)
     */
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        ShiroUser shiroUser = (ShiroUser) principals.getPrimaryPrincipal();
        UcsUser ucsUser = ucsUserService.selectByUsername(shiroUser.loginName);
        //把principals放session中 key=userId value=principals
        SecurityUtils.getSubject().getSession().setAttribute(String.valueOf(ucsUser.getId()),SecurityUtils.getSubject().getPrincipals());
        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
        //賦予角色
        List<UcsRole> ucsRoles = ucsRoleService.selectByUser(ucsUser.getId());
        if (!CheckEmptyUtil.isEmpty(ucsRoles)){
            for(UcsRole ucsRole:ucsRoles){
                info.addRole(ucsRole.getId());
            }
        }
        //賦予許可權
//        List<UcsPermission> ucsPermissions = ucsPermissionService.selectByUser(ucsUser.getId(), domain);
        if (!CheckEmptyUtil.isEmpty(shiroUser.getMenus())){
            for(EasyUIMenu permission:shiroUser.getMenus()){
                if(UcsBaseConstant.PermissionType.BUTTON.equals(permission.getType()))
                info.addStringPermission(permission.getUrl());
            }
        }
        return info;
    }

    /**
     * Authenticates a user and retrieves its information.
     * 
     * @param token the authentication token
     * @throws AuthenticationException if there is an error during authentication.
     */
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException {
        CasToken casToken = (CasToken) token;
        if (token == null) {
            return null;
        }

        String ticket = (String)casToken.getCredentials();
        if (!StringUtils.hasText(ticket)) {
            return null;
        }

        TicketValidator ticketValidator = ensureTicketValidator();

        try {
            // contact CAS server to validate service ticket
            Assertion casAssertion = ticketValidator.validate(ticket, getCasService());
            // get principal, user id and attributes
            AttributePrincipal casPrincipal = casAssertion.getPrincipal();
            String username = casPrincipal.getName();
            logger.debug("Validate ticket : {} in CAS server : {} to retrieve user : {}", new Object[]{
                    ticket, getCasServerUrlPrefix(), username
            });

            Map<String, Object> attributes = casPrincipal.getAttributes();
            // refresh authentication token (user id + remember me)
            casToken.setUserId(username);
            String rememberMeAttributeName = getRememberMeAttributeName();
            String rememberMeStringValue = (String)attributes.get(rememberMeAttributeName);
            boolean isRemembered = rememberMeStringValue != null && Boolean.parseBoolean(rememberMeStringValue);
            if (isRemembered) {
                casToken.setRememberMe(true);
            }
            // create simple authentication info
            // 根據使用者名稱獲取賬號資訊
            UcsUser ucsUser = ucsUserService.selectByUsername(username);
            List<UcsPermission> ucsPermissions = null;
            if (ucsUser != null) {
                ucsPermissions = ucsPermissionService.selectByUser(ucsUser.getId(), domain);
            } else {
                throw new UnknownAccountException();//登入失敗
            }
            //給選單排序
            List<EasyUIMenu> menus = toEasyUIMenu(ucsPermissions);
            if(!CheckEmptyUtil.isEmpty(menus)){
                Collections.sort(menus);
            }
            ShiroUser shiroUser = new ShiroUser(ucsUser.getId(), ucsUser.getUsername(), ucsUser.getName(), menus);

            return new SimpleAuthenticationInfo(shiroUser, ticket, getName());
        } catch (TicketValidationException e) { 
            throw new CasAuthenticationException("Unable to validate ticket [" + ticket + "]", e);
        }
    }

    private List<EasyUIMenu> toEasyUIMenu(List<UcsPermission> ucsPermissions){
        List<EasyUIMenu> menus = new ArrayList<EasyUIMenu>(0);
        for (UcsPermission ucsPermission : ucsPermissions) {
            menus.add(toEasyUIMenu(ucsPermission));
        }
        return menus;
    }
    private EasyUIMenu toEasyUIMenu(UcsPermission ucsPermission){
        return new EasyUIMenu(ucsPermission.getId(), ucsPermission.getPid(), ucsPermission.getDomain(), ucsPermission.getName(), ucsPermission.getType(), ucsPermission.getSort(), ucsPermission.getIcon(), ucsPermission.getUrl(), ucsPermission.getDescription(), ucsPermission.getStatus());
    }

    @Override
    public void clearCachedAuthorizationInfo(PrincipalCollection principals) {
        super.clearCachedAuthorizationInfo(principals);
    }

    @Override
    public void clearCachedAuthenticationInfo(PrincipalCollection principals) {
        super.clearCachedAuthenticationInfo(principals);
    }

    @Override
    public void clearCache(PrincipalCollection principals) {
        super.clearCache(principals);
        clearAllCache();
    }

    public void clearAllCachedAuthorizationInfo() {
        getAuthorizationCache().clear();
    }

    public void clearAllCachedAuthenticationInfo() {
        getAuthenticationCache().clear();
    }

    public void clearAllCache() {
        clearAllCachedAuthenticationInfo();
        clearAllCachedAuthorizationInfo();
    }

}

(二)cas登出

  
  在任意一個子系統登出後,cas伺服器會向所有發過登入請求的子系統傳送一個登出請求,使所有子系統的HttpSession失效。如果使用了shiro的session管理器,需要修改cas客戶端程式碼,在移除HttpSession的時候也移除shiro的Session。

1、web.xml

  web.xml中需要加入cas的SingleSignOutFilter實現單點登出功能,該過濾器需要放在shiroFilter之前,spring字符集過濾器之後。在實際使用時發現,SingleSignOutFilter如果放在了spring字符集過濾器之前,資料在傳輸過程中就會出現亂碼。

<!-- 用於單點退出,該過濾器用於實現單點登出功能,可選配置。-->
<listener>
    <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!-- 該過濾器用於實現單點登出功能,可選配置。 -->
<filter>
    <filter-name>CAS Single Sign Out Filter</filter-name>
    <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>CAS Single Sign Out Filter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

2、登出請求

  登出只需要將當前頁面跳轉到cas伺服器的logout頁面即可實現登出。如果需要登出後跳轉頁面,可以加入service引數,並參考第一部分中第四節進行配置。
  子系統使用的方法是在後臺拼裝好登出連結,傳送給前臺頁面,前臺頁面接受使用el表示式接收。具體實現需要根據每個子系統的不同來自行實現。

@Value("${cas.server}")
private String cas_server;  
@Value("${cas.client}")
private String cas_client;

@RequestMapping(value = "/index")
public String index(Model model){
    StringBuilder logoutUrl = new StringBuilder();
    logoutUrl.append(cas_server);
    logoutUrl.append("/logout?service=");
    logoutUrl.append(cas_client);
    model.addAttribute("logoutUrl", logoutUrl.toString());
    return "system/index";
}

  前臺頁面:

<script>
    var logoutUrl = '${logoutUrl}';
</script>

快取配置(可選)

我使用的ehcache作為shiro的快取,也可以使用其他的。
spring-cache.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:aop="http://www.springframework.org/schema/aop" xmlns:context="http://www.springframework.org/schema/context"
    xmlns:jdbc="http://www.springframework.org/schema/jdbc" xmlns:tx="http://www.springframework.org/schema/tx"
    xsi:schemaLocation="
    http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd
    http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd
    http://www.springframework.org/schema/jdbc http://www.springframework.org/schema/jdbc/spring-jdbc.xsd
    http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx.xsd"
    default-lazy-init="false">

    <bean id="springCacheManager" class="org.springframework.cache.ehcache.EhCacheCacheManager">
        <property name="cacheManager" ref="ehcacheManager"/>
    </bean>

    <!--ehcache-->
    <bean id="ehcacheManager" class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean">
        <property name="configLocation" value="classpath:properties/ehcache.xml"/>
    </bean>

</beans>

ehcache.xml

<?xml version="1.0" encoding="UTF-8"?>  
<ehcache xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:noNamespaceSchemaLocation="ehcache.xsd"  
    updateCheck="true" monitoring="autodetect"  
    dynamicConfig="true">  


    <diskStore path="C:\\ehcache\\cache"/> 
    <!--<diskStore path="/application/cache"/>   -->
    <!-- 登入記錄快取 鎖定10分鐘 -->
    <cache name="passwordRetryEhcache"
        maxEntriesLocalHeap="2000"
        eternal="false"
        timeToIdleSeconds="1800"
        timeToLiveSeconds="0"
        overflowToDisk="false"
        statistics="true">
    </cache>

    <cache name="authorizationCache"
        maxEntriesLocalHeap="2000"
        eternal="false"
        timeToIdleSeconds="3600"
        timeToLiveSeconds="0"
        overflowToDisk="false"
        statistics="true">
    </cache>

    <cache name="authenticationCache"
        maxEntriesLocalHeap="2000"
        eternal="false"
        timeToIdleSeconds="3600"
        timeToLiveSeconds="0"
        overflowToDisk="false"
        statistics="true">
    </cache>

    <cache name="shiro-activeSessionCache"
        maxEntriesLocalHeap="2000"
        eternal="false"
        timeToIdleSeconds="3600"
        timeToLiveSeconds="0"
        overflowToDisk="false"
        statistics="true">
    </cache>

    <defaultCache  
        maxElementsInMemory="1000"  
        eternal="false"  
        timeToIdleSeconds="120"  
        timeToLiveSeconds="120"  
        overflowToDisk="true"  
        maxElementsOnDisk="10000"  
        diskSpoolBufferSizeMB="30"  
        diskPersistent="false"  
        diskExpiryThreadIntervalSeconds="120"  
        memoryStoreEvictionPolicy="LRU"  
        statistics="false"  
        />  


</ehcache>

相關推薦

部分shiro整合spring使用cas登入配置

第三部分 shiro整合spring使用cas單點登入配置 (一)shiro單點登入   配置的主要目的在於將登入頁面改為${cas.server}?service=${cas.client}/login的形式,service後面為本地的回撥地址。在ca

shiro 整合cas登入

一、之前做了cas的單點登入,也做了shiro的許可權角色管理,但是沒有將兩者整合起來,現在做個整合供參考交流。 二、shiro是個比較簡單的許可權框架,可以閱讀官方文件,一步步來,在此只是提示下shiro核心配置就是realm,realm是個父介面,關鍵在專案中如何實現其

springmvc shiro整合cas登入

pattern value works str 認證 uid -- sched script shiro cas分為登入跟登出 maven依賴: <dependency> <groupId>org.apache.shiro&

Kaggle word2vec NLP 教程 部分詞向量的更多樂趣

第三部分:詞向量的更多樂趣 程式碼 第三部分的程式碼在這裡。 單詞的數值表示 現在我們有了訓練好的模型,對單詞有一些語義理解,我們應該如何使用它? 如果你看它的背後,第 2 部分訓練的 Word2Vec 模型由詞彙表中每個單詞的特徵向量組成,儲存在一個名為sy

python全棧開發中級班全程筆記(第二模組) 部分 遞迴

python全棧開發筆記第二模組 第三部分 :遞迴   一、遞迴定義及使用 定義:什麼叫遞迴?遞迴就是在函式的執行中呼叫自己  下面程式碼舉例說明: 例: def recursion(n): #設定計數 print(n) #為了能驗證呼叫自己多少次,列

設計資料密集型應用部分派生資料

  《Designing Data-Intensive Applications》的第一部分,基於單點(single node)介紹了資料系統的基礎理論與知識;在第二部分,則是將視野擴充套件到了分散式資料系統,主要是Partition和Repliacation。在第三部分,則聚焦於派生資料系統。 int

部分初步認識Twisted

第三部分:開始認識Twisted 可以從這裡從頭開始閱讀這個系列。   用twisted的方式實現前面的內容 最終我們將使用twisted的方式來重新實現我們前面的非同步模式客戶端。不過,首先我們先稍微寫點簡單的twisted程式來認識一下twisted。 最最簡單的twisted程式就是

【JavaFx教程】部分與使用者的互動

第3部分的主題: 在表中反應選擇的改變(TableView中)。 增加增加,編輯和刪除按鈕的功能。 建立自定義彈出對話方塊編輯人員。 驗證使用者輸入。 響應表的選擇 顯然,我們還沒有使用應用程式的右邊。想法是當用戶選擇表中的人員時,在右邊顯示人員的詳情。 首先

[譯] 利用 Python中的 Bokeh 實現資料視覺化,部分製作一個完整的儀表盤

原文地址:Data Visualization with Bokeh in Python, Part III: Making a Complete Dashboard 原文作者:Will Koehrsen 譯文出自:掘金翻譯計劃 本文永久連結:github.com/xitu/g

部分 YARN 架構,應用監控

MapReduce has undergone a complete overhaul in hadoop-0.23 and we now have, what we call, MapReduce 2.0 (MRv2) or YARN. The funda

Java密碼學原型演算法實現——部分雙線性對

背景介紹 技術部落格已經好久沒更新了。倒不是因為沒得寫,是因為實在是太忙了,而且研究也到了一個瓶頸期,需要大量閱讀文獻。 本來打算很長一段時間都不更新部落格了,甚至打算等我畢業工作後再更新一些有價值的部落格,但是最近在CSDN私信上和知乎上經常收到求救帖子,

AWK-詳解著名的awk Oneliner,部分選擇性輸出特定行

awk ' NR < 11 ' 如前所述,這裡省略了動作,即為列印輸出。匹配模式是變數NR需要小於11,NR即為當前的行號。這個寫法很簡單,但是有一個問題,在NR大於10的時候,awk其實還是對每行進行了判斷,如果檔案很大,比如說有上萬行,浪費的時間是無法忽略的。所以,更好的寫法是 awk '1;

前端之路——列表、表、提交按鈕、html佈局、css的display,製造第一個表提交案例

第三課了,今天知識點至關重要。 網頁常用的表單提交!!! 就這樣羅列下第三課的知識點吧,不搞水印圖片了。 1.有序列表:語法(<ol><li></li></ol>),<ol>標籤能讓瀏覽器預設帶出排序,教為少用

shiro授權認證

EDA classpath then ember utils 直接 測試 無權限 roles 授權:也叫訪問控制,即在應用中控制誰能訪問哪些資源(如訪問頁面/編輯數據/頁面操作等)。 主體:即訪問應用的用戶,在Shiro中使用Subject代表該用戶。用戶只有授權後才允許

Go語言專案整合CAS登入

網上有高手開源了一個網盤專案:藍眼雲盤,我一看還行,版權也很寬鬆,是MIT,就用到了專案裡面去。 有個問題就是我們專案採用了CAS作為單點登入,而這個藍眼雲盤有自己的一套登入機制。需要改造一下,將單點登入也整合到雲盤中來。 藍眼雲盤專案伺服器端是用GO語言開發的,前端則用了VUE

shiro多系統登入

最近做專案遇到了多個系統許可權用的是shiro框架,需要做成單點登入,雖然shiro為單點登入提供了shiro-cas的方案,但是不太符合我們現有專案的框架,現在和大家分享一下我是如何實現單點登入。整體思路是參考cas。 框架圖: 流程介紹 使用者第

SpringBoot整合cas登入

注意:(1).  專案使用了lombok工具包            (2).  在CasConfig中配置了原web.xml中cas的過濾器和監聽器 1、(1).  定義一個類CasAutoconfig用於放置cas的一些屬性配置 import org.springfr

cas shiro spring實現登入

這裡貼出傳送門,來自幕課網大神。講了cas配置和cas的基本原理。 CAS deployerConfigContext.xml配置檔案 預設通過配置檔案管理授權登入賬戶 <bean id="primaryAuthentication

shiro框架實現登入

import org.apache.shiro.session.Session; import org.apache.shiro.session.mgt.eis.SessionDAO; public

pac4j探索(二): buji-pac4j+Cas+Shiro+SpringMvc實現登入

在pac4j探索的上一篇文章大致講述了一下buji-pac4j+CAS的認證流程。這裡記錄一下本人實現的最簡單的單點登入,僅作為筆記、學習交流之用,戳這裡獲取本文原始碼。 一、專案框架 1、 buji-pac4j(v.3.0.0) 2、