2. 程式人生 > >Shiro學習(15)單點登錄

Shiro學習(15)單點登錄

阿新 發佈:2017-07-07
XML init mage oid login plugin void keystore .com

Shiro 1.2開始提供了Jasig CAS單點登錄的支持,單點登錄主要用於多系統集成,即在多個系統中,用戶只需要到一個中央服務器登錄一次即可訪問這些系統中的任何一個,無須多次登錄。此處我們使用Jasig CAS v4.0.0-RC3版本:

https://github.com/Jasig/cas/tree/v4.0.0-RC3

Jasig CAS單點登錄系統分為服務器端和客戶端,服務器端提供單點登錄,多個客戶端(子系統)將跳轉到該服務器進行登錄驗證,大體流程如下:

1、訪問客戶端需要登錄的頁面http://localhost:9080/ client/,此時會跳到單點登錄服務器https://localhost:8443/ server/login?service=https://localhost:9443/ client/cas;

2、如果此時單點登錄服務器也沒有登錄的話,會顯示登錄表單頁面,輸入用戶名/密碼進行登錄;

3、登錄成功後服務器端會回調客戶端傳入的地址:https://localhost:9443/client/cas?ticket=ST-1-eh2cIo92F9syvoMs5DOg-cas01.example.org,且帶著一個ticket;

4、客戶端會把ticket提交給服務器來驗證ticket是否有效;如果有效服務器端將返回用戶身份;

5、客戶端可以再根據這個用戶身份獲取如當前系統用戶/角色/權限信息。

本章使用了和《第十四章 SSL》一樣的數字證書。

服務器端

我們使用了Jasig CAS服務器v4.0.0-RC3版本,可以到其官方的github下載:https://github.com/Jasig/cas/tree/v4.0.0-RC3下載,然後將其cas-server-webapp模塊封裝到shiro-example-chapter15-server模塊中,具體請參考源碼。

1、數字證書使用和《第十四章 SSL》一樣的數字證書,即將localhost.keystore拷貝到shiro-example-chapter15-server模塊根目錄下;

2、在pom.xml中添加Jetty Maven插件,並添加SSL支持:

Java代碼 技術分享
  1. <plugin>
  2. <groupId>org.mortbay.jetty</groupId>
  3. <artifactId>jetty-maven-plugin</artifactId>
  4. <version>8.1.8.v20121106</version>
  5. <configuration>
  6. <webAppConfig>
  7. <contextPath>/${project.build.finalName}</contextPath>
  8. </webAppConfig>
  9. <connectors>
  10. <connector implementation="org.eclipse.jetty.server.nio.SelectChannelConnector">
  11. <port>8080</port>
  12. </connector>
  13. <connector implementation="org.eclipse.jetty.server.ssl.SslSocketConnector">
  14. <port>8443</port>
  15. <keystore>${project.basedir}/localhost.keystore</keystore>
  16. <password>123456</password>
  17. <keyPassword>123456</keyPassword>
  18. </connector>
  19. </connectors>
  20. </configuration>
  21. </plugin>

3、修改src/main/webapp/WEB-INF/deployerConfigContext.xml,找到primaryAuthenticationHandler,然後添加一個賬戶:

Java代碼 技術分享
  1. <entry key="zhang" value="123"/>

其也支持如JDBC查詢,可以自己定制;具體請參考文檔。

4、mvn jetty:run啟動服務器測試即可:

訪問https://localhost:8443/chapter15-server/login將彈出如下登錄頁面:

技術分享

輸入用戶名/密碼,如zhang/123,將顯示登錄成功頁面:

技術分享

到此服務器端的簡單配置就完成了。

客戶端

1、首先使用localhost.keystore導出數字證書(公鑰)到D:\localhost.cer

Java代碼 技術分享
  1. keytool -export -alias localhost -file D:\localhost.cer -keystore D:\localhost.keystore

2、因為CAS client需要使用該證書進行驗證,需要將證書導入到JDK中:

Java代碼 技術分享
  1. cd D:\jdk1.7.0_21\jre\lib\security
  2. keytool -import -alias localhost -file D:\localhost.cer -noprompt -trustcacerts -storetype jks -keystore cacerts -storepass 123456

如果導入失敗,可以先把security 目錄下的cacerts刪掉;

3、按照服務器端的Jetty Maven插件的配置方式配置Jetty插件;

4、在shiro-example-chapter15-client模塊中導入shiro-cas依賴,具體請參考其pom.xml;

5、自定義CasRealm:

Java代碼 技術分享
  1. public class MyCasRealm extends CasRealm {
  2. private UserService userService;
  3. public void setUserService(UserService userService) {
  4. this.userService = userService;
  5. }
  6. @Override
  7. protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
  8. String username = (String)principals.getPrimaryPrincipal();
  9. SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
  10. authorizationInfo.setRoles(userService.findRoles(username));
  11. authorizationInfo.setStringPermissions(userService.findPermissions(username));
  12. return authorizationInfo;
  13. }
  14. }

CasRealm根據CAS服務器端返回的用戶身份獲取相應的角色/權限信息。

6、spring-shiro-web.xml配置:

Java代碼 技術分享
  1. <bean id="casRealm" class="com.github.zhangkaitao.shiro.chapter13.realm.MyCasRealm">
  2. <property name="userService" ref="userService"/>
  3. ……
  4. <property name="casServerUrlPrefix" value="https://localhost:8443/chapter14-server"/>
  5. <property name="casService" value="https://localhost:9443/chapter14-client/cas"/>
  6. </bean>

casServerUrlPrefix:是CAS Server服務器端地址;

casService:是當前應用CAS服務URL,即用於接收並處理登錄成功後的Ticket的;

如果角色/權限信息是由服務器端提供的話,我們可以直接使用CasRealm:

Java代碼 技術分享
  1. <bean id="casRealm" class="org.apache.shiro.cas.CasRealm">
  2. ……
  3. <property name="defaultRoles" value="admin,user"/>
  4. <property name="defaultPermissions" value="user:create,user:update"/>
  5. <property name="roleAttributeNames" value="roles"/>
  6. <property name="permissionAttributeNames" value="permissions"/>
  7. <property name="casServerUrlPrefix" value="https://localhost:8443/chapter14-server"/>
  8. <property name="casService" value="https://localhost:9443/chapter14-client/cas"/>
  9. </bean>

defaultRoles/ defaultPermissions:默認添加給所有CAS登錄成功用戶的角色和權限信息;

roleAttributeNames/ permissionAttributeNames:角色屬性/權限屬性名稱,如果用戶的角色/權限信息是從服務器端返回的(即返回的CAS Principal中除了Principal之外還有如一些Attributes),此時可以使用roleAttributeNames/ permissionAttributeNames得到Attributes中的角色/權限數據;請自行查詢CAS獲取用戶更多信息。

Java代碼 技術分享
  1. <bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
  2. <property name="failureUrl" value="/casFailure.jsp"/>
  3. </bean>

CasFilter類似於FormAuthenticationFilter,只不過其驗證服務器端返回的CAS Service Ticket。

Java代碼 技術分享
  1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
  2. <property name="securityManager" ref="securityManager"/>
  3. <property name="loginUrl" value="https://localhost:8443/chapter14-server/login?service=https://localhost:9443/chapter14-client/cas"/>
  4. <property name="successUrl" value="/"/>
  5. <property name="filters">
  6. <util:map>
  7. <entry key="cas" value-ref="casFilter"/>
  8. </util:map>
  9. </property>
  10. <property name="filterChainDefinitions">
  11. <value>
  12. /casFailure.jsp = anon
  13. /cas = cas
  14. /logout = logout
  15. /** = user
  16. </value>
  17. </property>
  18. </bean>

loginUrl:https://localhost:8443/chapter15-server/login表示服務端端登錄地址,登錄成功後跳轉到?service參數對於的地址進行客戶端驗證及登錄;

“/cas=cas”:即/cas地址是服務器端回調地址,使用CasFilter獲取Ticket進行登錄。

7、測試,輸入http://localhost:9080/chapter15-client地址進行測試即可,可以使用如Chrome開這debug觀察網絡請求的變化。

如果遇到以下異常,一般是證書導入錯誤造成的,請嘗試重新導入,如果還是不行,有可能是運行應用的JDK和安裝數字證書的JDK不是同一個造成的:

Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.Java:385)

at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)

at sun.security.validator.Validator.validate(Validator.java:260)

at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)

at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)

at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)

at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1323)

... 67 more

Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)

at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)

at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)

... 73 more

Shiro學習(15)單點登錄

相關推薦

Shiro學習15

XML init mage oid login plugin void keystore .com Shiro 1.2開始提供了Jasig CAS單點登錄的支持,單點登錄主要用於多系統集成,即在多個系統中,用戶只需要到一個中央服務器登錄一次即可訪問這些系統中的任何一個,無須

java實現簡單的

hresult 調查公司 exe ftp 說我 負數 是我 create 統一 摘要:單點登錄(SSO)的技術被越來越廣泛地運用到各個領域的軟件系統當中。本文從業務的角度分析了單點登錄的需求和應用領域;從技術本身的角度分析了單點登錄技術的內部機制和實現手段,並且給出Web-

SSO的實現原理

客戶 解決方案 bus 應用集成 eight 冗余 請求 效率 att 單點登錄SSO(Single Sign On)說得簡單點就是在一個多系統共存的環境下,用戶在一處登錄後,就不用在其他系統中登錄,也就是用戶的一次登錄能得到其他所有系統的信任。單點登錄在大型網站裏使用得非

cas-jdbc認證

warn uil 單向加密 admin rom hibernate con als salt 前言 本節的內容為JDBC認證,查找數據庫進行驗證,其中包括: 密碼加密策略(無密碼,簡單加密,加鹽處理) 認證策略(jdbc) 一、業務需求 不同的公司,需求業務需求或者架

,session,jsonp待更新

es2017 技術 單點 跨域 ima com bsp post class 單點登錄理解: 單點登錄系統設計: ajax跨域: 單點登錄,session,jsonp(待更新)

FortiGate飛塔防火墻使用LDAP和FSSO代理進行

works 頁面 filter bar web authent 火墻 51cto web頁面 案例中使用FSSO和Windows DC LDAP服務器的認證進行用戶身份的校驗來控制網絡訪問的權限。1. 在FortiGate防火墻上配置Windows DC LDAP服務器找到

如何設計一個系統3

抽象 pat resolve pro 業務 問題 resolv -c cli 在上一篇文章 如何設計一個單點登錄系統(2)? 中主要講解了可跨域SSO系統服務端,客戶端在登錄,登出過程中分別應該承擔的職責,本文將重點聊一下具體技術實現,源碼地址: https://githu

如何設計一個系統1

ping 微信 根據 files 示例 o-c 基本 形式 TP 單點登錄系統的由來 隨著互聯網技術的發展,目前各大公司都在瘋狂擴張業務,比如像阿裏巴巴,旗下就有淘寶,天貓,支付寶等業務線,按照目前的互聯網產品,基本上每個產品都會涉及到賬戶體系,不管是社交也好,電商也罷,都

身份認證系統多WEB應用的

會有 求和 頂級域名 等等 票據 什麽 多個 另一個 如何解決 隨著互聯網的發展,web應用的復雜度也一直在提升,慢慢的單一的web應用已經不能滿足復雜的業務需求。例如百度的搜索、新聞、百科、貼吧,其實本質上都是不同的網站。當用戶使用這些平臺的時候,我們當然不希望用戶在每一

自己動手寫SSO

getattr apach tpc style inter -m commons getwriter servle SSO在我們的應用中非常常見,例如我們在OA系統登錄了,我們就可以直接進入采購系統,不需要再登錄了,這樣使我們非常方便。

SSO簡介

基礎設施 markup 目前 大學 位數 nsa 在服務器 管理系統 ets 單點登錄SSO(Single Sign-On)是身份管理中的一部分。SSO的一種較為通俗的定義是:SSO是指訪問同一服務器不同應用中的受保護資源的同一用戶,只需要登錄一次,即 通過一個應用中的安全

十二Java B2B2C多用戶商城 springboot架構-SSO之OAuth2.0

fff 用戶 red auth src ror 單點登錄 更多 watermark 上一篇我根據框架中OAuth2.0的使用總結,畫了一個根據用戶名+密碼實現OAuth2.0的登錄認證的流程圖,今天我們看一下logout的流程: /** * 用戶註銷

JavaB2B2C多用戶商城springcloud架構-SSOOAuth2.0認證

url路徑 都在 哪些 auth code 受保護 adapt pass 配置 url 之前寫了很多關於spring cloud的文章,今天我們對OAuth2.0的整合方式做一下筆記,首先我從網上找了一些關於OAuth2.0的一些基礎知識點,幫助大家回顧一下知識點: 一、o

十一Java B2B2C o2o多用戶商城-SSO之OAuth2.0流程(2)

-- 設計思想 組件 expire image term 總結 pass 一起 上一篇是站在巨人的肩膀上去研究OAuth2.0,也是為了快速幫助大家認識OAuth2.0,閑話少說,我根據框架中OAuth2.0的使用總結,畫了一個簡單的流程圖(根據用戶名+密碼實現OAuth2

Web SSO 實現模型

短信驗證碼 alt img sso com 怎麽 image 分離 前後端 有網友問起, 前後端分離 架構下的 Web 單點驗證 怎麽做, 我畫了個圖 : Temp Token 就 相當於 短信驗證碼 。 Web 單點登錄 都可以用這個 模型, 不僅僅是 前後端分

Python+OpenCV學習15---Lucas Kanade 角光流軌跡跟蹤

利用python學習OpenCV,個人感覺比較方便。函式的形式與C++基本相同,所以切換過來還是比較好的,對於像我這種對python不太熟練的人,使用python的整合開發環境PyCharm進行學習,可以設定斷點除錯,有助於我這類初學者理解掌握。 Lucas Kanad

線程學習--例和多線程、ThreadLocal

pen single cal final ride args ash public 線程 一、ThreadLocal 使用wait/notify方式實現的線程安全,性能將受到很大影響。解決方案是用空間換時間,不用鎖也能實現線程安全。 來看一個小例子,在線程內的set、get

Shiro學習9JSP標簽

one miss dmi gsp context 自定義 asp div request Shiro提供了JSTL標簽用於在JSP/GSP頁面進行權限控制,如根據登錄用戶顯示相應的頁面按鈕。 導入標簽庫 Java代碼 <[email prot

Shiro學習8攔截器機制

綁定 local cin 沒有 代碼 authz https 字符串 subject 8.1 攔截器介紹 Shiro使用了與Servlet一樣的Filter接口進行擴展;所以如果對Filter不熟悉可以參考《Servlet3.1規範》http://www.iteye.com

Shiro學習11緩存機制

values next() app uri 如果 itl apache 依賴 nag Shiro提供了類似於spring的Cache抽象,即Shiro本身不實現Cache,但是對Cache進行了又抽象,方便更換不同的底層Cache實現。對於Cache的一些概念可以參考我的《