shiro-cas +spring实现sso单点登录


title: shiro-cas 单点登录爬过的坑
notebook: 笔记
tags:java


cas简单服务端-客服端配置 看这

主要来讲shiro-cas +spring的配置

首先shiro的简单配置就不多说了 总结下步骤:

  1. 配置web.xml使用shiroFilter
 <!-- shiro 安全过滤器 -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

2.使用spring配置shiro

    <!-- 用于认证的realm -->
    <bean class="com.hahaee.shiro.realm.AuthRealm" id="authRealm"/>
    <!-- 注意这里shiroFilter 要与web.xml中的filter-name一致-->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <!-- shiro的核心安全接口  -->
        <property name="securityManager" ref="securityManager"/>
        <!-- 要求登录时的链接 -->
        <!--<property name="loginUrl" value="/login.jsp"/>-->
        <!-- 登陆成功后要跳转的连接 -->
        <property name="successUrl" value="/success.jsp"/>
        <!-- 没有权限要跳转的链接 -->
        <property name="unauthorizedUrl" value="/unauthro.jsp"/>
        <property name="filters">
            <util:map>
            </util:map>
        </property>
        <!-- shiro连接约束配置-->
        <property name="filterChainDefinitions">
            <value>
                <!-- url匹配权限控制 -->
                /login/*=anon
                /** = authc
            </value>
        </property>
    </bean>
    <!-- 安全管理器 -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <!--配置realm-->
                <ref bean="authRealm"/>
            </list>
        </property>
    </bean>
    <!-- Shiro生命周期处理器 -->
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <!-- 相当于调用SecurityUtils.setSecurityManager(securityManager) -->
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod" value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>
  1. 方法中调用subject.login(token)来通过shiro进行认证
  SecurityUtils.setSecurityManager(securityManager);
        Subject currentUser = SecurityUtils.getSubject();
        if (!currentUser.isAuthenticated()) {
            UsernamePasswordToken token = new UsernamePasswordToken(username, pwd);
            token.setRememberMe(true);
            try {
                currentUser.login(token);
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
  1. 继承AuthenticatingRealm编写认证流程
public class AuthRealm extends AuthenticatingRealm {
    @Override
    protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authToken) throws AuthenticationException {
        String username = (String) authToken.getPrincipal();
        if (username.equals("admin")) {
            return new SimpleAuthenticationInfo(
                    "admin", "admin", //加密密码
                    getName()  //realm name
            );
        } else {
            return null;
        }
    }
}

shiro的登入认证就到此为止 关于权限认证不在本文范畴

shiro-cas +spring 配置

说下cas的结构:

1. cas分为server 和client端
2. cas-client通过filter来拦截用户的url请求 主要有AuthenticationFilter和Cas20ProxyReceivingTicketValidationFilter 前者负责登录验证 后者负责ticket的有效验证
3. 当通过server登录后 server会发送http请求到client 并传递ticket的参数
4. client通过检测ticket的存在来判断是否登录过 检测ticket的有效(过期与否)来判断登录状态是否有效
5. 当通过server登出后 同样会发送http请求到client端 并传递登出参数 client通过SingleSignOutFilter拦截请求并清除本地登录状态 实现登出

shiro如何通过cas来进行登录:

1. shiro本身通过继承realm的方式来进行登录认证 当接入cas后 则通过cas-server来进行登录认证 详见org.apache.shiro.cas.CasRealm
2. 通过shiroFilter来对请求路径的登录状态验证 详见org.apache.shiro.cas.CasFilter

配置过程:

  1. 配置web.xml使用shiroFilter
 <!-- shiro 安全过滤器 -->
    <filter>
        <filter-name>shiroFilter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetFilterLifecycle</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>shiroFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

2.spring配置shiro

    
    <!-- Shiro Filter -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="loginUrl" value="${shiro.loginUrl}"/>
        <property name="securityManager" ref="securityManager"/>
        <!-- 设定用户的登录链接,这里为cas登录页面的链接地址可配置回调地址 -->
        <property name="filters">
            <map>
                <!-- 添加casFilter到shiroFilter -->
                <entry key="logoutFilter" value-ref="logoutFilter"/>
                <entry key="casFilter" value-ref="casFilter"/>
            </map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /logout= logoutFilter
                /login = casFilter
                /protected/** = roles[ROLE_USER]
                /** = anon
            </value>
        </property>
    </bean>
    <bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
        <!-- 配置验证错误时的失败页面 -->
        <property name="failureUrl" value="${shiro.failureUrl}"/>
        <property name="successUrl" value="${shiro.successUrl}"/>
    </bean>
    <bean id="logoutFilter" class="org.apache.shiro.web.filter.authc.LogoutFilter">
        <!-- 配置验证错误时的失败页面 -->
        <property name="redirectUrl" value="${shiro.logoutUrl}"/>
    </bean>
    <bean id="casRealm" class="org.apache.shiro.cas.CasRealm">
        <property name="defaultRoles" value="ROLE_USER"/>
        <!-- cas服务端地址前缀 -->
        <property name="casServerUrlPrefix" value="${shiro.cas.serverUrlPrefix}"/>
        <!-- 应用服务地址,用来接收cas服务端票据 -->
        <property name="casService" value="${shiro.cas.service}"/>
    </bean>
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="subjectFactory" ref="casSubjectFactory"/>
        <property name="realm" ref="casRealm"/>
    </bean>
    <bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory"/>
    <bean class="org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor">
        <property name="securityManager" ref="securityManager"/>
    </bean>
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>
    <bean class="org.springframework.beans.factory.config.MethodInvokingFactoryBean">
        <property name="staticMethod"
                  value="org.apache.shiro.SecurityUtils.setSecurityManager"/>
        <property name="arguments" ref="securityManager"/>
    </bean>
    <!-- properties -->
shiro.loginUrl=http://server:8080/login?service=http://client2:8082/login
shiro.logoutUrl=http://server:8080/logout?service=http://client2:8082/login
shiro.cas.serverUrlPrefix=http://server:8080/
shiro.cas.service=http://client2:8082/login
shiro.failureUrl=/fail.jsp
shiro.successUrl=/success.jsp

配置完成 说明一下注意的地方:

logoutFilter 和casFilter 分别作用是清除登录状态 和保存登录状态 而不是来判断是否有登录状态的!
shiro.failureUrl=/fail.jsp 和 shiro.successUrl=/success.jsp 是访问/login时 是否登录时跳转的页面

  1. /logout = logoutFilter /logout是个虚拟的路径 作用是当访问/logout时 调起logoutFilter来完成登出的操作(注意只是清理了本地的登录状态 要想清楚cas-server的登录状态 则要通过redirectUrl来访问cas-server的登出接口)

  2. /login = casFilter /login也是个虚拟路径 作用是 当通过server登录成功后 回跳到/login时会被casFilter拦截 从而保存下登录信息

  3. 如果通过cas-server登出 而不是通过logoutFilter登出 那么client还是持有登录状态 因为client只通过cas进行一次登录认证 其他都是直接判断本地保存的登录状态 来判断登录与否的

解决方式:
    <!-- 通过filter来拦截server登出时发出的client请求 来手动重置本地保存的登录状态 -->
    <filter>
        <filter-name>logoutFilter</filter-name>
        <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>logoutFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- CAS: 用于单点退出 -->
    <listener>
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    </listener>

以上 爬了一天的坑的总结

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容