spring boot 2.0 集成 shiro 和 pac4j cas单点登录-Ajax请求携带cookie跨域

最新推荐文章于 2024-09-13 07:27:29 发布
最新推荐文章于 2024-09-13 07:27:29 发布
阅读量673 收藏 5
点赞数 1
分类专栏: # CAS 文章标签: sso 跨域携带cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ory001/article/details/111472683
版权

spring boot 2.0 集成 shiro 和 pac4j cas单点登录-Ajax请求携带cookie跨域

一、CAS服务端

# CAS官方配置说明 https://apereo.github.io/cas/5.3.x/installation/Configuration-Properties.html
cas:
  httpWebRequest:
    header:
      # 允许使用iframe嵌套CAS登录页面
      xframe: false
    cors:
      # 跨域cookie
      allowCredentials: true
      allowHeaders:
        - '*'
      allowMethods:
        - '*'
      allowOrigins:
        - '*'
      enabled: true
      exposedHeaders:
        - 'Set-Cookie'
      maxAge: 3600

二、CAS客户端

spring boot 2.0 集成 shiro 和 pac4j cas单点登录

1.新建CorsFilter类
package com.ruoyi.framework.shiro.web.filter;

import org.springframework.web.cors.CorsUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


/**
 * 跨域配置
 */
public class CorsFilter implements Filter {

    /**
     * 增加跨域设置
     */
    @Override
    public void doFilter(final ServletRequest request, final ServletResponse response, final FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse rep = (HttpServletResponse) response;
        if (CorsUtils.isCorsRequest(req)) {
            String origin = req.getHeader("Origin");
            // Access-Control-Allow-Origin的值不要写*号,因为对于带有cookie的跨域请求,浏览器不支持这种宽松的策略
            rep.setHeader("Access-Control-Allow-Origin", origin);
            // 允许的访问方法
            rep.setHeader("Access-Control-Allow-Methods", "POST, GET, PUT, OPTIONS, DELETE, PATCH");
            // Access-Control-Max-Age 用于 CORS 相关配置的缓存
            rep.setHeader("Access-Control-Max-Age", "3600");
            rep.setHeader("Access-Control-Allow-Headers", "token, Accept, Origin, X-Requested-With, Content-Type, Last-Modified");
            // 如果操作cookie,必须加上这句话
            rep.setHeader("Access-Control-Allow-Credentials", "true");
        }

        filterChain.doFilter(request, response);

    }


}
2.修改ShiroConfig
	
    @Bean
    public FilterRegistrationBean corsFilter() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        filterRegistrationBean.setFilter(new CorsFilter());
        filterRegistrationBean.setEnabled(true);
        filterRegistrationBean.addUrlPatterns("/*");
        filterRegistrationBean.setOrder(1);
        return filterRegistrationBean;
    }


    @Bean
    public FilterRegistrationBean filterRegistrationBean() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        filterRegistrationBean.setFilter(new DelegatingFilterProxy("shiroFilter"));
        filterRegistrationBean.addInitParameter("targetFilterLifecycle", "true");
        filterRegistrationBean.setEnabled(true);
        filterRegistrationBean.addUrlPatterns("/*");
        filterRegistrationBean.setOrder(10);
        return filterRegistrationBean;
    }



	/**
     * Shiro过滤器配置
     */
    @Bean
    public ShiroFilterFactoryBean shiroFilter(DefaultWebSecurityManager securityManager, Config config)
    {
        ShiroFilterFactoryBean shiroFilterFactoryBean = new ShiroFilterFactoryBean();
        // Shiro的核心安全接口,这个属性是必须的
        shiroFilterFactoryBean.setSecurityManager(securityManager);

        Map<String, Filter> filters = new LinkedHashMap<String, Filter>();

        // cas 资源认证拦截器
        SecurityFilter securityFilter = new SecurityFilter();
        securityFilter.setConfig(config);
        securityFilter.setClients(casProperties.getCasClientName());

        // cas 认证后回调拦截器
        CallbackFilter callbackFilter = new CallbackFilter();
        callbackFilter.setDefaultUrl(casProperties.getCasClientUrl());
        callbackFilter.setConfig(config);

        // 注销 拦截器
        LogoutFilter logoutFilter = new LogoutFilter();
        logoutFilter.setConfig(config);
        logoutFilter.setCentralLogout(true);
        logoutFilter.setLocalLogout(true);
        logoutFilter.setDefaultUrl(casProperties.getCasClientUrl() + "/callback?client_name=" + casProperties.getCasClientName());

        filters.put("onlineSession", onlineSessionFilter());
        filters.put("syncOnlineSession", syncOnlineSessionFilter());
        filters.put("logout",logoutFilter);
        filters.put("callbackFilter", callbackFilter);
        filters.put("securityFilter", securityFilter);

        shiroFilterFactoryBean.setFilters(filters);


        // Shiro连接约束配置,即过滤链的定义
        LinkedHashMap<String, String> filterChainDefinitionMap = new LinkedHashMap<>();

        // 对静态资源设置匿名访问
        filterChainDefinitionMap.put("/favicon.ico**", "anon");
        filterChainDefinitionMap.put("/ruoyi.png**", "anon");
        filterChainDefinitionMap.put("/css/**", "anon");
        filterChainDefinitionMap.put("/docs/**", "anon");
        filterChainDefinitionMap.put("/fonts/**", "anon");
        filterChainDefinitionMap.put("/img/**", "anon");
        filterChainDefinitionMap.put("/images/**", "anon");
        filterChainDefinitionMap.put("/ajax/**", "anon");
        filterChainDefinitionMap.put("/js/**", "anon");
        filterChainDefinitionMap.put("/ruoyi/**", "anon");
        filterChainDefinitionMap.put("/captcha/captchaImage**", "anon");
        filterChainDefinitionMap.put("/webjars/**", "anon");

        filterChainDefinitionMap.put("/callback", "callbackFilter");
        filterChainDefinitionMap.put("/logout", "logout");

        // 所有请求需要认证
        filterChainDefinitionMap.put("/**", "securityFilter,onlineSession,syncOnlineSession");
        shiroFilterFactoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap);

        return shiroFilterFactoryBean;
    }

说明:
注意的是项目加载了哪些filter,它们的顺序是怎样的?这样有利于排查问题。
在CorsFilter#doFilter方法内打断点,watch 变量FilterChain filterChain的值,注意其顺序。

三、ajax调用示例

    $.ajax({
        type:"post",
        async: false,
        url:"http://127.0.0.1:80/system/userInfo",
        data: {},
        // 携带cookie
        xhrFields: {
            withCredentials: true
        },
        crossDomain:true,
        dataType: 'json',
        success:function(data, textStatus, jqXHR) {
            console.log(data);
        },
        error: function(xhr, textStatus, e) {
            console.log(textStatus);
        }
    });

注意:新版本的Chrome浏览器,默认禁用跨域携带cookie,可以手动设置浏览器chrome://flags/ 搜索SameSite设置项并禁用(不建议)。可以使用nginx代理各系统,解决同源问题。

参考
解决在CAS中的跨域请求问题
Refused to display ‘url’ in a frame because it set ‘X-Frame-Options’ to ‘deny’

搬山境KL攻城狮
关注
专栏目录
前后端分离后台基于springboot,shiro,auth2,前端vue集成cas
qq_37494229的博客
04-30 2508
增加三个拦截 package kwc.app.filter; import kwc.app.common.enums.NoLoginEnum; import kwc.app.common.utils.RedisUtils; import org.jasig.cas.client.Protocol; import org.jasig.cas.client.configuration.Con...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 1343
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
springboot+cas5.x+shiro+pac4j实现sso集成
05-18
springboot+cas5.x+shiro+pac4j实现sso集成,请先看我的博客,如果有问题再下载此源码学习,
spring boot 2.0 集成 shiropac4j cas单点登录
weixin_34129696的博客
07-24 770
新开的项目,果断使用spring boot 最新版本 2.0.3,免得后期升级坑太多,前期把雷先排了。 由于对shiro比较熟,故使用shiro来做权限控制。同时已经存在了cas认证中心,shiro官方在1.2中就表明已经弃用了CasFilter,建议使用buji-pac4j,故使用pac4j来做单点登录的控制。 废话不说,代码如下: 2018-08...
Spring Boot 集成 ShiroCAS 项目教程
最新发布
gitblog_00789的博客
09-13 404
Spring Boot 集成 ShiroCAS 项目教程 springboot-cas-shiro springboot-cas-shiro 项目地址: https://gitcode.com/gh_mirrors/sp/s...
springboot+shiro+pac4j cas子系统集成单点登录+cas服务端
MikuLove的博客
08-21 679
1、框架版本如下 shiro 1.7.1 buji-pac4j 5.0.1 pac4j-cas 4.5.2 cas 5.3.16 <shiro.version>1.7.1</shiro.version> <io.buji.version>5.0.1</io.buji.version> <org.pac4j.version>4.5.2</org.pac4j.version> <dependency> &l
Spring shiro + bootstrap + jquery.validate 登录、注册
胡汉三
01-19 2653
之前的文章中我们已经搭建好框架,并且设计好了,数据库。 现在我们开始实现登录功能,这个可以说是Web应用最最最普遍的功能了。 先来说说我们登录的逻辑: 输入用户名、密码(validate进行前端验证)——ajax调用后台action方法——根据用户名调用业务层到数据层查询数据库信息——查询的密码跟用户输入的密码比对——shiro登录身份验证——将用户信息存入session——响应前端——前端
springboot shiro ajax,SpringBoot Shiro 登录成功后返回json数据 shiro使用ajax登录
weixin_39694174的博客
08-05 495
老规矩,先上代码:protected boolean onLoginSuccess(AuthenticationToken token, Subject subject,ServletRequest request, ServletResponse response) throws Exception {//WebUtils.redirectToSavedRequest(request, resp...
Java详细学习大纲和内容
wal13145的博客
12-17 438
我整理的Java全套内容学习路线,分为6个阶段(大阶段) 第一阶段:java内功心法篇 第二阶段:Java武功秘籍(经典框架) 第三阶段:Java高级功法(主流框架) 第四阶段:Java成神之路 第五阶段:项目实战案例 第六阶段:面试通关秘籍 第一阶段:java内功心法篇 java基础语法:基本数据类型、基本数据类型 数组和字符串:数组、字符串 面向对象一:类/对象、方法、封装 面向对象二:继承、抽象类/接口/多态 异常处理、内部类的使用:内部类、匿名类、异常处理 集合类库:list/.
Java面试考核题
weixin_47089371的博客
05-28 570
1.1Java基础 1.集合有哪些?数据结构?初始长度?扩容机制?哪些是线程安全的? hashmap的底层原理? 集合类型主要有3种:set(集)、list(列表)和map(映射)。 1、List(有序、可重复) List里存放的对象是有序的,同时也是可以重复的,List关注的是索引,拥有一系列和索引相关的方法,查询速度快。因为往list集合里插入或删除数据时,会伴随着后面数据的移动,所有插入删除数据速度慢。 2、Set(无序、不能重复) Set里存放的对象是无序,不能重复的,集合中的对象.
乐优、青橙商城相关技术总结
lph-China的博客
05-26 4696
乐优、青橙商城相关技术总结 文章目录乐优、青橙商城相关技术总结SSMSpringSpringMVCmybatis通用MapperzookeeperElementUIES6OSSVue黑马架构师DubboSpringBootSpringCloudSpringDataSpring SecurityEurekaRibbonHystrix简介雪崩问题FeignZuulVuetifyNginxnginx作为web服务器nginx作为反向代理CORSFastDFSElasticsearchElasticElastics
springboot+cas5.2.3+shiro+pac4j实现sso集成2
07-04
和博客的内容相辅相成。这个版本是开箱即用的,简单的配置下自己的host就ok
springboot shiro pac4j cas jwt认证中心sso完整项目
09-11
基于springboot框架,前后端分离模式下的shiro + pac4j +cas实现统一登录功能,子应用采用shiro鉴权,通过pac4jcas交互,最终向前端返回jwt token
iframe跨域与session失效问题的解决办法
10-26
主要介绍了iframe跨域与session失效问题的解决办法,有需要的朋友可以参考一下
详解spring boot配置单点登录
08-31
本篇文章主要介绍了详解spring boot配置单点登录,常用的安全框架有spring security和apache shiroshiro的配置和使用相对简单,本文使用shrio对接CAS服务。
springboot shiro ajax,springboot shiro实现登录跳转原先页面
weixin_39545329的博客
08-05 772
在项目的会遇到请求后台页面会出现未登录跳转到登录页面,登录完成后再跳转回登录页面,又于项目登录是采用ajax编写的,只需在登录成功后将需要跳转的页面返回就可以.后台登录控制器@PostMapping(value = {"/admin/login"})@ResponseBodypublic LayResponse login(@RequestParam Map param, HttpServletR...
spring boot 2.0 集成 shiropac4j cas单点登录(解决单点登出失效问题)
搬山境KL攻城狮的修炼手册
11-11 3070
一、CAS简介 CAS 是 Central Authentication Service 的缩写 —— 中央认证服务,一种独立开放指令协议,是 Yale 大学发起的一个企业级开源项目,旨在为 Web 应用系统提供一种可靠的 SSO 解决方案。 CAS 支持以下特性: CAS v1, v2 和 v3 协议 SAML v1 和 v2 协议 OAuth v2 协议 OpenID & OpenID Connect 协议 WS-Federation Passive Requestor 协议 通过 JAAS
shiroajax冲突,ShiroAJAX完美整合
weixin_28952471的博客
08-05 372
ShiroAJAX完美整合这是我第一次认认真真写博客,以前为了图快,结果写下来基本只有自己可以看懂。不过我感觉有经验就应该要和别人分享下,在分享的同时或许可以为这个问题找到更好的解决方案。   我在上学期5月份学完了Shiro,当初学时,看了半天的英文文档,最后还是不知道它为什么要这么干,只知道很多人说它很方便。在今年9月初时,我在次使用它,这次终于知道它的内部原理,但是感觉它的处理方式和我的上...
springboot+shiro+cas+pac4j客户端集成单点登录
qq_29467891的博客
06-24 1708
前言:接上一篇,已经搭建好cas服务器,现在开始集成springboot客户端,由于使用的框架是开源热门springboot项目bootdo,这里直接用bootdo作演示,另外提供一个简单的springboot的demo用作参考。 1.导入所需maven包 <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-s
Spring Boot 1.5.4与Shiro+CAS集成单点登录与权限控制详解
"本文主要介绍了如何在Spring Boot 1.5.4版本中集成Apache ShiroCAS(Central Authentication Service),以实现单点登录(Single Sign-On, SSO)和权限控制的功能。以下将详细介绍所需的技术栈、配置步骤和关键...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

搬山境KL攻城狮

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值