pac4j初认识

最新推荐文章于 2024-08-10 07:07:49 发布
最新推荐文章于 2024-08-10 07:07:49 发布
阅读量2.5k 收藏 5
点赞数 1
分类专栏: 权限认证 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h_big_tiger/article/details/109577619
版权

1、什么是pac4j

pac4j是一个java的安全 引擎

在一套标准的interface下,

    1、提供多种认证机制,表单登录,JWS,cas,OAuth等等

    2、多种授权和权限检查机制:role/permission,CORS,CSRF,HTTP Security headers

    3、多种框架集成方式:springboot, shiro,play,spring security

多种认证方式可插拔,可同时使用一种或多种

常见的是springboot+cas+role/permissions

2、重要组件及概念

client

引入不同的认证包会包含不同的Client类,每个Client类代表一种登录和认证方式。比如:

使用CLient-cas,里面就是CasClient

authenticator

Authenticator是client的一个组件,用来validate credentials,并用来创建user profile。

authorizer

用来检测用户是否能够通过授权,pac4j内置了很多authorizer:

  • StrictTransportSecurityHeader
  • XContentTypeOptionsHeader
  • XFrameOptionsHeader
  • XSSProtectionHeader
  • CacheControlHeader
  • CsrfAuthorizer
  • CsrfTokenGeneratorAuthorizer
  • CorsAuthorizer
  • IsAnonymousAuthorizer
  • IsAuthenticatedAuthorizer
  • IsFullyAuthenticatedAuthorizer
  • IsRememberedAuthorizer

我们也可以自己实现,然后添加到config的authorizerMap中

matchers

用来判断一个请求,是否经过登录或认证

开发者可以在config中定义很多的matchers,并定义每个请求需要经过哪些matchers

一个请求只有在经过的matchers返回值都为true时才能进行认证检测

如果为false,则直接授权访问

config

配置了要用到的clients,authorizers,matchers

user profile

代表了一个认证后的用户,包括id,属性,角色,权限等

web context

对一个请求的抽象,包含了request,response,session,还有pac4j提供的其他的来辅助描述这次请求的数据

security filter

拦截机制,根据client的不同来进行认证检查,授权检查,从而保护一个url地址,如果是没有认证的用户,则尝试登录

callback controller

对于一些间接登录,如需要在一个特殊页面进行登录,不是每个请求都携带认证信息的client,在完成登陆操作需要调用callback controller,最终完成登陆操作。

logout controller

登出操作

3、流程

一个请求过来,访问一个url A,如果A需要被保护,那么开始以下步骤:

1、开发人员设置需要经过的security filter

2、如果security filter能从web context中获取到user profile,并且user profile是登录状态,那么通过认证,允许访问。

3、如果没有user profile,那么从config中配置的clients中获取到该应用可支持的client

4、先用direct clients来判断是否能登录,如果此时的context中包含了这类client所需的登录信息,如token,则能够被授权访问成功

5、如果不行,则用indirect client的登录方式,跳转回特定的登录页

6、在特定的登录页登录成功后,会跳转到rollback controller进行最后的登录操作,及获取user profile并保存。

7、退出时,访问logoutcontroller,执行退出

我,大虫
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PAC4J
小浩子的博客
07-29 1万+
什么是PAC4Jpac4j是一个简单而强大的安全引擎,用于Java对用户进行身份验证、获取其配置文件和管理授权,以确保web应用程序安全。它提供了一套完整的概念和组件。它基于Java 8,并在Apache 2许可下使用。它可用于大多数框架/工具和支持大多数认证/授权机制。已经集成可用的场景 J2E • Spring Web MVC (Spring Boot) • Spring Security (
pac4j:Java的安全引擎(身份验证,授权,多框架):OAuth,CAS,SAML,OpenID Connect,LDAP,JWT。
02-03
pac4j是Java的一个简单而强大的安全引擎,用于对用户进行身份验证,获取其个人资料并管理授权,以保护Web应用程序和Web服务的安全。 它提供了一套完整的。 它基于Java 8,并在Apache 2许可下可用。 它可用于大多数框架/工具,并支持大多数身份验证/授权机制。 可用的实现(通过单击您的框架开始): • • • • • • • ••• • • • • • 认证机制: - - - - - - - - - - - 授权机制: - - - 版本号 最新发布的版本是 ,在Maven中央存储库中可用。 正在开发中。
pac4j扩展ruoyi oauth登录思路
asddd44的博客
05-29 286
再看RuoYiProfileDefinition类RuoYiProfileDefinition构造函数在一开始先转换一下用户信息的格式extractUserProfile其实就是真正解析获取用户信息的方法,和token一样ruoyi包了一层将真正的数据放在data里所以我们需要重写一下方法解套一层。而若依其实是将这些数据包裹在data中所以我们需要先拨开一层json,以下是RuoYiJsonExtractor 的相关代码,可以看到JsonNode data = bodyNew.get("data");
Java 权限引擎 pac4j
weixin_33729196的博客
06-06 652
pac4j 详细介绍 pac4j 是一个 Java 权限引擎,支持多种协议多种框架 支持验证机制: OAuth (1.0 & 2.0): Facebook, Twitter, Google, Yahoo, LinkedIn, Github... using the pac4j-oauth module CAS (1.0, 2.0, SAML...
Buji Pac4j - 一个强大、灵活的Java安全
gitblog_00035的博客
03-17 432
Buji Pac4j - 一个强大、灵活的Java安全库 buji-pac4jBridge from the pac4j security library to Shiro项目地址:https://gitcode.com/gh_mirrors/bu/buji-pac4j 是一个基于 Java 的开源安全库,它提供了一种简单的方式来保护你的 Web 应用程序。Buji Pac4j 可以与各种身份验...
spring-security-pac4j:用于Spring安全性的pac4j安全性库:OAuth,CAS,SAML,OpenID Connect,LDAP,JWT。
01-29
spring-security-pac4j项目是一个用于Spring Security Web应用程序和Web服务(带有或不带有Spring Boot)的简单而强大的安全性库。 它支持身份验证和授权,还支持会话固定和CSRF保护等高级功能。 它基于Java 8,Spring Security 5和v5 。 它在Apache 2许可下可用。 对于新的Spring Boot或Spring MVC项目,或者如果您打算将整个webapp迁移到pac4j ,则应使用库而不是该库,该库具有类似的功能,但更简单! 代表认证机制。 它执行登录过程并返回用户配置文件。 间接客户端用于Web应用程序身份验证,而直接客户端用于Web服务身份验证: ▸OAuth-SAML-CAS-OpenID Connect-HTTP-Google App Engine-Kerberos-LDAP-SQL-JWT-MongoDB-CouchDB-IP地址-REST API 者旨在检查已认证的用户个人资料或当前Web上下文中的授权: ▸角色/权限-匿名/记住我/(完全)已认证-配置文件类型,属性-CORS-CSRF-
SpringBoot+security+pac4j
09-07
**SpringBoot+Security+Pac4j:构建安全的微服务应用** 在现代Web应用程序开发中,安全性是至关重要的组成部分。Spring Boot、Spring Security和Pac4j这三者结合,提供了一种高效且灵活的方式来保护你的应用。下面...
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
本项目基于SpringBoot框架,结合Shiro、pac4j和CAS,构建了一个完整的JWT认证中心,旨在实现高效、安全的SSO解决方案。 1. **SpringBoot**: SpringBoot是Spring框架的一个扩展,它简化了Spring应用的始搭建以及...
pac4j-oauth-tencent
06-11
pac4j-oauth-tencent】是一个专门为Java开发者设计的安全库,主要用于集成CAS服务器与腾讯OAuth2.0授权服务。这个库使得用户可以通过腾讯账号进行登录,为Web应用提供便捷的社交登录功能。在理解这个库之前,我们...
buji-pac4j.rar
03-05
《buji-pac4j:Java安全库的深度解析与实战指南》 buji-pac4j是一款基于Java 8、Apache Shiro和pac4j 2.x的安全框架,其核心在于提供了一套完整的认证、授权和防止跨站点请求伪造(CSRF)的解决方案。在本文中,...
javaee-pac4j security library
12-29
JavaEE-Pac4J安全库是一个专门为Java企业级应用程序提供身份验证和授权功能的开源库。它被设计为与Java Enterprise Edition(JavaEE)无缝集成,简化了在Web应用程序中实施安全性的过程。Pac4J框架支持多种认证协议...
pac4j, Java安全引擎( 认证授权多框架).zip
10-10
pac4j, Java安全引擎( 认证授权多框架) 是一个简单而强大的安全引擎,用于为Java认证用户。获取它的概要文件和管理授权以确保web应用程序。它提供了一套全面的概念和组件 。 它基于java5并且在Apache许可下可用。 对于大多数框架/工具来说,它是的,支持大多数身份
springboot+cas5.2.3+shiro+pac4j实现sso集成2
07-04
和博客的内容相辅相成。这个版本是开箱即用的,简单的配置下自己的host就ok
Spring Security Pac4j: 强大的安全框架
gitblog_00056的博客
03-17 448
Spring Security Pac4j: 强大的安全框架 spring-security-pac4jBridge from the pac4j security library to Spring Security (reactive)项目地址:https://gitcode.com/gh_mirrors/sp/spring-security-pac4j Spring Security Pa...
推荐开源项目:pac4j
gitblog_00018的博客
03-17 453
推荐开源项目:pac4j pac4jSecurity engine for Java (authentication, authorization, multi frameworks): OAuth, CAS, SAML, OpenID Connect, LDAP, JWT...项目地址:https://gitcode.com/gh_mirrors/pa/pac4j 是一个安全认证框架,为各种 ...
告别shiro-cas单点登录集成库,这款简单且强壮的Java Web安全引擎pac4j你值得拥有
追寻上飞的博客
03-09 6600
官网地址传送门。 pac4j引擎全称为powerful authentication client for java,这是笔者根据其官网介绍推测的全称,不一定正确,姑且这样叫着。 一、缘何遇到该引擎 笔者在集成CAS服务时使用springboot+shiro搭配shiro-cas库,但是总是遇到非法令牌的问题即invalid_ticket,找了各种解释。 CAS服务器令牌失效时间短的问题1 笔者更改配置文件,尝试多次,貌似不起作用,官方说的这是默认且唯一的配置; 缺少其它依赖库2 引入后也不得行; 客
pac4j 项目使用教程
最新发布
gitblog_00717的博客
08-10 254
pac4j 项目使用教程 pac4jSecurity engine for Java (authentication, authorization, multi frameworks): OAuth, CAS, SAML, OpenID Connect, LDAP, JWT...项目地址:https://gitcode.com/gh_mirrors/pa/pac4j 1. 项目的目录结构及介绍 ...
pac4j探索(一)之buji-pac4j
热门推荐
hxm_Code的专栏
01-27 1万+
一、认识buji-pac4j公司单点登录cas客户端用的是shiro的shiro-cas模块,但从源码看来,shiro不建议再使用shiro-cas,也就是说shiro-cas模块的相关都被shiro标注为@Deprecated,并推荐使用的代替方案是buji-pac4j(https://github.com/bujiio/buji-pac4j)。那么什么是buji-pac4j呢?原文档如是说:
利用pac4j的封装,实现自定义cas校验ST、集成jwt
zzzgd_666的博客
08-12 6037
利用pac4j-cas的封装,实现自定义cas校验ST、集成jwt关于pac4j-caspac4j-cas和shiro正题,代码验证ST代码 关于pac4j-cas 这几天一直在折腾pac4j-cas和cas的集成. 也大概了解了一下它的运作机制。 首先我们配置了一堆关于cas,cas-client的相关信息 我这边观察到的pac4j-cas两个关键的过滤器,io.buji.pac4j.filter.SecurityFilter和io.buji.pac4j.filter.CallbackFilter, S
cas 5.3 pac4j
07-25
### 回答1: Cas 5.3 pac4j是一个用于身份验证和授权的Java库。它提供了一种简单且可扩展的方式来集成CAS(Central Authentication Service)协议和pac4j库,用于集中身份验证。CAS是一种单点登录协议,它允许用户在一次登录后访问多个应用程序而无需再次登录。pac4j是一个Java库,用于实现身份验证和授权的安全框架。 使用Cas 5.3 pac4j,开发人员可以轻松地实现CAS协议和pac4j库的集成,并集中管理用户的身份验证和授权。它提供了多种身份验证方法,包括用户名密码,OAuth,OpenID等。开发人员只需配置相应的身份验证器即可使用这些方法。 该库还提供了丰富的授权机制,允许开发人员定义访问控制规则,以决定哪些用户可以访问特定资源。这些规则可以基于用户角色,用户组,IP地址等进行配置,并通过简单的配置文件进行管理。 Cas 5.3 pac4j还支持自定义的身份验证器和授权器,使开发人员可以根据自己的需要进行扩展和定制。此外,它还提供了易于使用的API,方便开发人员在应用程序中使用身份验证和授权功能。 总之,Cas 5.3 pac4j提供了一个强大而灵活的身份验证和授权解决方案,帮助开发人员快速集成CAS协议和pac4j库,并集中管理用户的身份验证和授权。 ### 回答2: Cas 5.3是一个开源的单点登录(SSO)协议,用于统一认证和授权系统。Pac4j是一个在Cas 5.3上构建的Java安全库。 Cas是“Central Authentication Service”的缩写,主要用于企业或组织中的应用程序和服务之间的身份验证问题。Cas 5.3是Cas协议的一个版本,它提供了多种身份验证方式,包括用户名/密码、第三方账号、Token和验证码等。它的核心原理是通过一个中央认证服务器来验证用户的身份,并将认证结果传递给各个应用程序,实现了用户在一个应用中登录后,其身份在其他应用中的自动认证。 Pac4j是一个开源的Java安全库,它在Cas 5.3上提供了更强大和灵活的安全功能。Pac4j可以集成多种身份验证方式,包括Cas、OAuth、SAML、OpenID Connect、LDAP和JWT等,并能够与各种框架(如Spring、Play、Vert.x)无缝集成。Pac4j还支持身份授权和权限管理,可以根据用户的角色和权限对资源进行访问控制。 Cas 5.3和Pac4j的结合可以实现一个健全的身份认证和授权体系。它们可以应用于各种场景,如企业内部应用的统一登录、多租户系统的身份管理和第三方应用的认证授权等。通过使用Cas 5.3和Pac4j,可以大大简化安全开发的复杂性,提高系统的安全性和用户体验。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值