Apache Shiro 集成-Cas

http://blog.csdn.net/peterwanghao/article/details/8825008

Shiro集成CAS是在1.2版本里新增的功能。

Shiro-cas模块将应用作为CAS客户端与CAS SSO服务器一起保护web应用。

CAS协议的一个基本理解:

1. 如果你想访问一个被CAS客户端保护的应用,而你还没有进行认证。你讲被重定向到CAS服务端的登录页面。在应用中你需要配置CAS的登录url地址。


http://application.examples.com/protected/index.jsp → HTTP 302

→ https://server.cas.com/login?service=http://application.examples.com/shiro-cas

2. 当你填上登录名和密码在CAS服务端进行认证后,你就被重定向到一个带有服务端票据的应用URL。服务端票据是一次性使用的令牌,可在CAS服务端标识用户的唯一性(或用户属性)。


https://server.cas.com/login?service=http://application.examples.com/shiro-cas → HTTP 302

→ http://application.examples.com/shiro-cas?ticket=ST-4545454542121-cas

3. 应用去CAS服务端询问票据的有效性,CAS服务端响应经过认证的用户唯一标识。CAS客户端将页面转发到受保护的页面。


http://application.examples.com/shiro-cas?ticket=ST-4545454542121-cas → HTTP 302

→ http://application.examples.com/protected/index.jsp

如何配置shiro与CAS服务器工作?

在你的应用中添加shiro-cas Maven依赖


<dependency>

<groupId>org.apache.shiro</groupId>

<artifactId>shiro-cas</artifactId>

<version>version</version>

</dependency>

在你的应用中添加服务端url,这个url被用来接收CAS服务端票据。

在Shiro配置中定义CasFilter:


[main]

casFilter = org.apache.shiro.cas.CasFilter

casFilter.failureUrl = /error.jsp

定义过滤器对应的url:


[urls]

/shiro-cas = casFilter

这样一来,当用户经过CAS服务端的有效票据认证后被重定向到应用的服务地址(/shiro-cas),这个过滤器接收服务端票据并创建一个可以被CasRealm使用的CasToken。

CasRealm使用被CasFilter创建的CasToken来验证用户的合法性。在你的shiro配置中添加CasRealm:


[main]

casRealm = org.apache.shiro.cas.CasRealm

casRealm.defaultRoles = ROLE_USER

#casRealm.defaultPermissions

#casRealm.roleAttributeNames

#casRealm.permissionAttributeNames

#casRealm.validationProtocol = SAML

casRealm.casServerUrlPrefix = https://server.cas.com/

casRealm.casService = http://application.examples.com/shiro-cas

casServerUrlPrefix是CAS服务端地址。

casService是应用服务地址,用来接收CAS服务端票据。

validationProcol值为SAML or CAS,默认是CAS。它依赖于CAS服务器的版本,SAML协议只能使用在CAS server version >= 3.1。

defaultRoles是认证通过后默认角色。

defaultPermissions是认证通过后默认权限。

roleAttributeNames是认证通过的用户的角色属性名称,用逗号分隔。

permissionAttributeNames是认证通过的用户的权限属性名称,用逗号分隔。

CAS服务端可以支持 ‘remember me’ 功能,这个信息通过SAML验证或CAS定制验证发布。你需要在Shiro配置中定义CasSubjectFactory:


[main]

casSubjectFactory = org.apache.shiro.cas.CasSubjectFactory

securityManager.subjectFactory = $casSubjectFactory

最后,为你的应用增加安全控制。定义需要保护的url地址和需要进行认证的CAS服务端地址:


[main]

roles.loginUrl = https://server.cas.com/login?service=http://application.examples.com/shiro-cas

[urls]

/protected/** = roles[ROLE_USER]

/** = anon

一个完整的配置例子:


[main]

casFilter = org.apache.shiro.cas.CasFilter

casFilter.failureUrl = /error.jsp

casRealm = org.apache.shiro.cas.CasRealm

casRealm.defaultRoles = ROLE_USER

casRealm.casServerUrlPrefix = https://server.cas.com/

casRealm.casService = http://application.examples.com/shiro-cas

casSubjectFactory = org.apache.shiro.cas.CasSubjectFactory

securityManager.subjectFactory = $casSubjectFactory

roles.loginUrl = https://server.cas.com/login?service=http://application.examples.com/shiro-cas

[urls]

/shiro-cas = casFilter

/protected/** = roles[ROLE_USER]

/** = anon

时间: 2024-10-27 19:14:29

Apache Shiro 集成-Cas的相关文章

cas+tomcat+shiro实现单点登录-4-Apache Shiro 集成Cas作为cas client端实现

目录 1.tomcat添加https安全协议 2.下载cas server端部署到tomcat上 3.CAS服务器深入配置(连接MYSQL) 4.Apache Shiro 集成Cas作为cas client端实现 Apache Shiro 集成Cas作为cas client端实现 第一步.添加maven依赖 <!-- shiro依赖包 --> <!-- <dependency> <groupId>org.apache.shiro</groupId> &

Apache shiro(3)—cas + shiro配置说明

这篇博客我们还是继续讲如何使用,其他的我自己还需要一些时间来消化.这次因为项目的需要,将登录从shiro中抽出来交给cas来验证.Shiro,只负责权限的验证.shiro在1.2版本之后加入了对cas的支持.我们先从cas入手-- SSO的概念 单点登录( Single Sign-On , 简称 SSO )是目前比较流行的服务于企业业务整合的解决方案之一, SSO就是一次登录,就可以访问多个互相信任的应用.而cas只是这种解决方案的一种实现. 这么说吧:大家应该都去过游乐场,通常会卖通票.就是买

shiro集成CAS单点登录

参考 https://my.oschina.net/u/2603356/blog/743966 http://www.tuicool.com/articles/vieU7nY https://my.oschina.net/u/2325281/blog/659606 http://www.hello-code.com/blog/architecture/201406/3598.html

Spring Boot 集成Shiro和CAS

请大家在看本文之前,先了解如下知识点: 1.Shiro 是什么?怎么用? 2.Cas 是什么?怎么用? 3.最好有Spring基础 可以先看看这两篇文章,按照这2篇文章的内容做一遍: Spring Boot Shiro 权限管理 CAS单点登录 首先看一下下面这张图: 第一个流程是单纯使用Shiro的流程. 第二个流程是单纯使用Cas的流程. 第三个图是Shiro集成Cas后的流程. [流程图高清图连接:http://img.blog.csdn.net/20160117224937078] PS

SpringMvc 下集成shiro与cas

由于内部系统越来越多,单点登录已经是一个较优选择.之前各个系统都集成了shiro作为权限管理, 所以必须要把shiro与cas集成. 集成步骤: 首先在POM中引入shiro-cas包 <dependency>  <groupId>org.apache.shiro</groupId>  <artifactId>shiro-cas</artifactId>  <version>1.2.2</version> </dep

Springboot集成Shiro和Cas实现单点登录(服务端篇CAS5)

什么是单点登录? 先说一个需求场景,比如:一个企业的内部有N多个子系统,每个子系统都有一套自己的用户名和密码,那么企业的员工要登录N个子系统,这样一个员工 就要记住N个用户名和密码,就算各个子系统的用户名和密码都是统一的,登录每个子系统都要输入用户名和密码进行登录也是一个繁琐的操作过程,那么单点登录功能由此便应运而生了.单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一.SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应

Apache Shiro学习笔记(九)Spring集成

鲁春利的工作笔记,好记性不如烂笔头 Integrating Apache Shiro into Spring-based Applications Shiro 的组件都是JavaBean/POJO 式的组件,所以非常容易使用Spring进行组件管理,可以非常方便的从ini配置迁移到Spring进行管理,且支持JavaSE应用及Web 应用的集成. Web Applications 1.web.xml <!-- The filter-name matches name of a 'shiroFil

【Shiro】Apache Shiro架构之集成web

前面两节内容介绍了Shiro中是如何进行身份和权限的认证,但是只是单纯的进行Shiro的验证,简单一点的话,用的是.ini配置文件,也举了个使用jdbc realm的例子,这篇博文主要来总结一下Shiro是如何集成web的,即如何用在web工程中. 写在前面:本文没有使用web框架,比如springmvc或者struts2,用的是原始的servlet,使用的是.ini配置文件,旨在简单粗暴,说明问题.后面会写一些和框架整合的博文. 本文部分参考Apache Shiro的官方文档,文档地址:htt

Apache Shiro学习笔记(五)Web集成扩展

鲁春利的工作笔记,好记性不如烂笔头 http://shiro.apache.org/web-features.html 基于Basic的拦截器身份验证 shiro-authc-basic.ini # 基于Basic的拦截器身份验证 [main] # 默认是/login.jsp authc.loginUrl=/login authcBasic.applicationName=请登录 [users] # 用户名=密码,角色 lucl=123456,admin wang=123456 [roles]