15 單點登入

原創 gsc1456 2018-08-20 19:24

 

Shiro 1.2開始提供了Jasig CAS單點登錄的支持,單點登錄主要用於多系統集成,即在多個系統中,用戶只需要到一箇中央服務器登錄一次即可訪問這些系統中的任何一個,無須多次登錄。此處我們使用Jasig CAS v4.0.0-RC3版本:

https://github.com/Jasig/cas/tree/v4.0.0-RC3

 

Jasig CAS單點登錄系統分爲服務器端和客戶端,服務器端提供單點登錄,多個客戶端(子系統)將跳轉到該服務器進行登錄驗證,大體流程如下:

1、訪問客戶端需要登錄的頁面http://localhost:9080/ client/,此時會跳到單點登錄服務器https://localhost:8443/ server/login?service=https://localhost:9443/ client/cas;

2、如果此時單點登錄服務器也沒有登錄的話,會顯示登錄表單頁面,輸入用戶名/密碼進行登錄;

3、登錄成功後服務器端會回調客戶端傳入的地址:https://localhost:9443/client/cas?ticket=ST-1-eh2cIo92F9syvoMs5DOg-cas01.example.org,且帶着一個ticket;

4、客戶端會把ticket提交給服務器來驗證ticket是否有效;如果有效服務器端將返回用戶身份;

5、客戶端可以再根據這個用戶身份獲取如當前系統用戶/角色/權限信息。

 

本章使用了和《第十四章 SSL》一樣的數字證書。

 

服務器端

我們使用了Jasig CAS服務器v4.0.0-RC3版本,可以到其官方的github下載:https://github.com/Jasig/cas/tree/v4.0.0-RC3下載,然後將其cas-server-webapp模塊封裝到shiro-example-chapter15-server模塊中,具體請參考源碼。

 

1、數字證書使用和《第十四章 SSL》一樣的數字證書,即將localhost.keystore拷貝到shiro-example-chapter15-server模塊根目錄下;

 

2、在pom.xml中添加Jetty Maven插件,並添加SSL支持:

Java代碼  收藏代碼

  1. <plugin>  
  2.   <groupId>org.mortbay.jetty</groupId>  
  3.   <artifactId>jetty-maven-plugin</artifactId>  
  4.   <version>8.1.8.v20121106</version>  
  5.   <configuration>  
  6.     <webAppConfig>  
  7.       <contextPath>/${project.build.finalName}</contextPath>  
  8.     </webAppConfig>  
  9.     <connectors>  
  10.       <connector implementation="org.eclipse.jetty.server.nio.SelectChannelConnector">  
  11.         <port>8080</port>  
  12.       </connector>  
  13.       <connector implementation="org.eclipse.jetty.server.ssl.SslSocketConnector">  
  14.         <port>8443</port>  
  15.         <keystore>${project.basedir}/localhost.keystore</keystore>  
  16.        <password>123456</password>  
  17.         <keyPassword>123456</keyPassword>  
  18.       </connector>  
  19.     </connectors>  
  20.   </configuration>  
  21. </plugin>  

 

3、修改src/main/webapp/WEB-INF/deployerConfigContext.xml,找到primaryAuthenticationHandler,然後添加一個賬戶:

Java代碼  收藏代碼

  1. <entry key="zhang" value="123"/>  

其也支持如JDBC查詢,可以自己定製;具體請參考文檔。

 

4、mvn jetty:run啓動服務器測試即可:

訪問https://localhost:8443/chapter15-server/login將彈出如下登錄頁面:


 

輸入用戶名/密碼,如zhang/123,將顯示登錄成功頁面:

 

到此服務器端的簡單配置就完成了。 

 

 

客戶端

1、首先使用localhost.keystore導出數字證書(公鑰)到D:\localhost.cer

Java代碼  收藏代碼

  1. keytool -export -alias localhost -file D:\localhost.cer -keystore D:\localhost.keystore   

 

2、因爲CAS client需要使用該證書進行驗證,需要將證書導入到JDK中: 

Java代碼  收藏代碼

  1. cd D:\jdk1.7.0_21\jre\lib\security  
  2. keytool -import -alias localhost -file D:\localhost.cer -noprompt -trustcacerts -storetype jks -keystore cacerts -storepass 123456   

如果導入失敗,可以先把security 目錄下的cacerts刪掉; 

 

3、按照服務器端的Jetty Maven插件的配置方式配置Jetty插件;

 

4、在shiro-example-chapter15-client模塊中導入shiro-cas依賴,具體請參考其pom.xml; 

 

5、自定義CasRealm:

Java代碼  收藏代碼

  1. public class MyCasRealm extends CasRealm {  
  2.     private UserService userService;  
  3.     public void setUserService(UserService userService) {  
  4.         this.userService = userService;  
  5.     }  
  6.     @Override  
  7.     protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {  
  8.         String username = (String)principals.getPrimaryPrincipal();  
  9.         SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();  
  10.         authorizationInfo.setRoles(userService.findRoles(username));  
  11.         authorizationInfo.setStringPermissions(userService.findPermissions(username));  
  12.         return authorizationInfo;  
  13.     }  
  14. }   

CasRealm根據CAS服務器端返回的用戶身份獲取相應的角色/權限信息。 

 

 

6、spring-shiro-web.xml配置:

Java代碼  收藏代碼

  1. <bean id="casRealm" class="com.github.zhangkaitao.shiro.chapter13.realm.MyCasRealm">  
  2.     <property name="userService" ref="userService"/>  
  3.     ……  
  4.     <property name="casServerUrlPrefix" value="https://localhost:8443/chapter14-server"/>  
  5.     <property name="casService" value="https://localhost:9443/chapter14-client/cas"/>  
  6. </bean>   

casServerUrlPrefix:是CAS Server服務器端地址;

casService:是當前應用CAS服務URL,即用於接收並處理登錄成功後的Ticket的;

 

如果角色/權限信息是由服務器端提供的話,我們可以直接使用CasRealm: 

Java代碼  收藏代碼

  1. <bean id="casRealm" class="org.apache.shiro.cas.CasRealm">  
  2.     ……  
  3.     <property name="defaultRoles" value="admin,user"/>  
  4.     <property name="defaultPermissions" value="user:create,user:update"/>  
  5.     <property name="roleAttributeNames" value="roles"/>  
  6.     <property name="permissionAttributeNames" value="permissions"/>  
  7.     <property name="casServerUrlPrefix" value="https://localhost:8443/chapter14-server"/>  
  8.     <property name="casService" value="https://localhost:9443/chapter14-client/cas"/>  
  9. </bean>   

defaultRoles/ defaultPermissions:默認添加給所有CAS登錄成功用戶的角色和權限信息;

roleAttributeNames/ permissionAttributeNames:角色屬性/權限屬性名稱,如果用戶的角色/權限信息是從服務器端返回的(即返回的CAS Principal中除了Principal之外還有如一些Attributes),此時可以使用roleAttributeNames/ permissionAttributeNames得到Attributes中的角色/權限數據;請自行查詢CAS獲取用戶更多信息。

 

Java代碼  收藏代碼

  1. <bean id="casFilter" class="org.apache.shiro.cas.CasFilter">  
  2.     <property name="failureUrl" value="/casFailure.jsp"/>  
  3. </bean>   

CasFilter類似於FormAuthenticationFilter,只不過其驗證服務器端返回的CAS Service Ticket。 

 

Java代碼  收藏代碼

  1. <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">  
  2.     <property name="securityManager" ref="securityManager"/>  
  3.     <property name="loginUrl" value="https://localhost:8443/chapter14-server/login?service=https://localhost:9443/chapter14-client/cas"/>  
  4.     <property name="successUrl" value="/"/>  
  5.     <property name="filters">  
  6.         <util:map>  
  7.             <entry key="cas" value-ref="casFilter"/>  
  8.         </util:map>  
  9.     </property>  
  10.     <property name="filterChainDefinitions">  
  11.         <value>  
  12.             /casFailure.jsp = anon  
  13.             /cas = cas  
  14.             /logout = logout  
  15.             /** = user  
  16.         </value>  
  17.     </property>  
  18. </bean>   

loginUrl:https://localhost:8443/chapter15-server/login表示服務端端登錄地址,登錄成功後跳轉到?service參數對於的地址進行客戶端驗證及登錄;

“/cas=cas”:即/cas地址是服務器端回調地址,使用CasFilter獲取Ticket進行登錄。

 

7、測試,輸入http://localhost:9080/chapter15-client地址進行測試即可,可以使用如Chrome開這debug觀察網絡請求的變化。

 

如果遇到以下異常,一般是證書導入錯誤造成的,請嘗試重新導入,如果還是不行,有可能是運行應用的JDK和安裝數字證書的JDK不是同一個造成的:

Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

       at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:385)

       at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)

       at sun.security.validator.Validator.validate(Validator.java:260)

       at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)

       at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)

       at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)

       at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1323)

       ... 67 more

Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

       at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)

       at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)

       at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)

       ... 73 more

      

 

示例源代碼:https://github.com/zhangkaitao/shiro-example;可加羣 231889722 探討Spring/Shiro技術。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

JEESZ-kafka集羣安裝

花的魚 2019-02-22 23:45:11

簡單組合java.util.Map<K,V>實現Map<K,P,V>

rr57f70ea41d02f 2019-02-22 22:44:26

shiro

浪漫的偷笑 2019-02-22 21:03:32

jeesz-zookeeper使用場景【別人總結,希望可以幫助到大家】

qq58ca27fb931bd 2019-02-22 20:25:07

第二章 身份驗證——《跟我學Shiro》

wangannan987 2019-02-22 20:01:15

springboot mybatis 後臺框架平臺 集成代碼生成器 shiro 權限

m17001581018 2019-02-22 19:46:33

jquery checkbox全選,全不選,反選方法,jquery checkbox全選只能操作一次

rr57fc3e6688d40 2019-02-22 17:19:23

java sql編輯器 動態報表 數據庫備份還原

金龍h 2019-02-22 16:52:51

xml解析——增刪改查操作後將其修改結果保存

rr57ec77d19b353 2019-02-22 16:24:12

SSM整合shiro

萬和IT教育 2019-02-22 16:13:52

30分鐘學會如何使用Shiro

qq592fbb5b34ad7 2019-02-22 15:16:57

jfinal集成使用shiro

androidbird 2019-02-22 14:57:11

分佈式架構2--CentOs下安裝Tomcat7(環境準備)

我就看看ni 2019-02-22 14:42:25

圖書管理系統

ThreadNew 2019-02-22 13:49:54

OA管理系統 - SpringBoot + AmazeUi

zzzmh 2019-01-23 14:52:43