Shiro 单点登录

最新推荐文章于 2024-08-19 17:16:42 发布
最新推荐文章于 2024-08-19 17:16:42 发布
阅读量2.3k 收藏 3
点赞数
分类专栏: shiro java 文章标签: Shiro 单点登录 Shiro  单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15204179/article/details/82699558
版权
java 同时被 2 个专栏收录
348 篇文章 10 订阅
订阅专栏
shiro
3 篇文章 0 订阅
订阅专栏

单点登录

Shiro 1.2 开始提供了 Jasig CAS 单点登录的支持,单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。此处我们使用 Jasig CAS v4.0.0-RC3 版本:
https://github.com/Jasig/cas/tree/v4.0.0-RC3

Jasig CAS 单点登录系统分为服务器端和客户端,服务器端提供单点登录,多个客户端(子系统)将跳转到该服务器进行登录验证,大体流程如下:

  1. 访问客户端需要登录的页面 http://localhost:9080/client/,此时会跳到单点登录服务器 https://localhost:8443/server/login?service=https://localhost:9443/client/cas
  2. 如果此时单点登录服务器也没有登录的话,会显示登录表单页面,输入用户名 / 密码进行登录;
  3. 登录成功后服务器端会回调客户端传入的地址:https://localhost:9443/client/cas?ticket=ST-1-eh2cIo92F9syvoMs5DOg-cas01.example.org,且带着一个 ticket;
  4. 客户端会把 ticket 提交给服务器来验证 ticket 是否有效;如果有效服务器端将返回用户身份;
  5. 客户端可以再根据这个用户身份获取如当前系统用户 / 角色 / 权限信息。

本章使用了和《第十四章 SSL》一样的数字证书。

服务器端

我们使用了 Jasig CAS 服务器 v4.0.0-RC3 版本,可以到其官方的 github 下载:https://github.com/Jasig/cas/tree/v4.0.0-RC3 下载,然后将其 cas-server-webapp 模块封装到 shiro-example-chapter15-server 模块中,具体请参考源码。

1、数字证书使用和《第十四章 SSL》一样的数字证书,即将 localhost.keystore 拷贝到 shiro-example-chapter15-server 模块根目录下;

2、在 pom.xml 中添加 Jetty Maven 插件,并添加 SSL 支持:

<plugin>
  <groupId>org.mortbay.jetty</groupId>
  <artifactId>jetty-maven-plugin</artifactId>
  <version>8.1.8.v20121106</version>
  <configuration>
    <webAppConfig>
      <contextPath>/${project.build.finalName}</contextPath>
    </webAppConfig>
    <connectors>
      <connector implementation="org.eclipse.jetty.server.nio.SelectChannelConnector">
        <port>8080</port>
      </connector>
      <connector implementation="org.eclipse.jetty.server.ssl.SslSocketConnector">
        <port>8443</port>
        <keystore>${project.basedir}/localhost.keystore</keystore>
       <password>123456</password>
        <keyPassword>123456</keyPassword>
      </connector>
    </connectors>
  </configuration>
</plugin>

3、修改 src/main/webapp/WEB-INF/deployerConfigContext.xml,找到 primaryAuthenticationHandler,然后添加一个账户:

<entry key="zhang" value="123"/>

其也支持如 JDBC 查询,可以自己定制;具体请参考文档。

4、mvn jetty:run 启动服务器测试即可:
访问 https://localhost:8443/chapter15-server/login 将弹出如下登录页面:

输入用户名 / 密码,如 zhang/123,将显示登录成功页面:

到此服务器端的简单配置就完成了。

客户端

1、首先使用 localhost.keystore 导出数字证书(公钥)到 D:\localhost.cer

keytool -export -alias localhost -file D:\localhost.cer -keystore D:\localhost.keystore&nbsp;

2、因为 CAS client 需要使用该证书进行验证,需要将证书导入到 JDK 中:

cd D:\jdk1.7.0_21\jre\lib\security
keytool -import -alias localhost -file D:\localhost.cer -noprompt -trustcacerts -storetype jks -keystore cacerts -storepass 123456&nbsp;

如果导入失败,可以先把 security 目录下的 cacerts 删掉;

3、按照服务器端的 Jetty Maven 插件的配置方式配置 Jetty 插件;

4、在 shiro-example-chapter15-client 模块中导入 shiro-cas 依赖,具体请参考其 pom.xml;

5、自定义 CasRealm:

public class MyCasRealm extends CasRealm {
    private UserService userService;
    public void setUserService(UserService userService) {
        this.userService = userService;
    }
    @Override
    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
        String username = (String)principals.getPrimaryPrincipal();
        SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
        authorizationInfo.setRoles(userService.findRoles(username));
        authorizationInfo.setStringPermissions(userService.findPermissions(username));
        return authorizationInfo;
    }
}&nbsp;

CasRealm 根据 CAS 服务器端返回的用户身份获取相应的角色 / 权限信息。

6、spring-shiro-web.xml 配置:

<bean id="casRealm" class="com.github.zhangkaitao.shiro.chapter13.realm.MyCasRealm">
    <property name="userService" ref="userService"/>
    ……
    <property name="casServerUrlPrefix" value="https://localhost:8443/chapter14-server"/>
    <property name="casService" value="https://localhost:9443/chapter14-client/cas"/>
</bean>&nbsp;

casServerUrlPrefix:是 CAS Server 服务器端地址;
casService:是当前应用 CAS 服务 URL,即用于接收并处理登录成功后的 Ticket 的;

如果角色 / 权限信息是由服务器端提供的话,我们可以直接使用 CasRealm:

<bean id="casRealm" class="org.apache.shiro.cas.CasRealm">
    ……
    <property name="defaultRoles" value="admin,user"/>
    <property name="defaultPermissions" value="user:create,user:update"/>
    <property name="roleAttributeNames" value="roles"/>
    <property name="permissionAttributeNames" value="permissions"/>
    <property name="casServerUrlPrefix" value="https://localhost:8443/chapter14-server"/>
    <property name="casService" value="https://localhost:9443/chapter14-client/cas"/>
</bean>&nbsp;

defaultRoles/ defaultPermissions:默认添加给所有 CAS 登录成功用户的角色和权限信息; roleAttributeNames/ permissionAttributeNames:角色属性 / 权限属性名称,如果用户的角色 / 权限信息是从服务器端返回的(即返回的 CAS Principal 中除了 Principal 之外还有如一些 Attributes),此时可以使用 roleAttributeNames/ permissionAttributeNames 得到 Attributes 中的角色 / 权限数据;请自行查询 CAS 获取用户更多信息。

<bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
    <property name="failureUrl" value="/casFailure.jsp"/>
</bean>&nbsp;

CasFilter 类似于 FormAuthenticationFilter,只不过其验证服务器端返回的 CAS Service Ticket。

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
    <property name="securityManager" ref="securityManager"/>
    <property name="loginUrl" value="https://localhost:8443/chapter14-server/login?service=https://localhost:9443/chapter14-client/cas"/>
    <property name="successUrl" value="/"/>
    <property name="filters">
        <util:map>
            <entry key="cas" value-ref="casFilter"/>
        </util:map>
    </property>
    <property name="filterChainDefinitions">
        <value>
            /casFailure.jsp = anon
            /cas = cas
            /logout = logout
            /** = user
        </value>
    </property>
</bean>&nbsp;

loginUrl:https://localhost:8443/chapter15-server/login 表示服务端端登录地址,登录成功后跳转到?service 参数对于的地址进行客户端验证及登录;
“/cas=cas”:即 /cas 地址是服务器端回调地址,使用 CasFilter 获取 Ticket 进行登录。

7、测试,输入 http://localhost:9080/chapter15-client 地址进行测试即可,可以使用如 Chrome 开这 debug 观察网络请求的变化。

如果遇到以下异常,一般是证书导入错误造成的,请尝试重新导入,如果还是不行,有可能是运行应用的 JDK 和安装数字证书的 JDK 不是同一个造成的:

Caused by:   sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target  

at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:385)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)
at sun.security.validator.Validator.validate(Validator.java:260)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1323)
   ... 67 more  

Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)
... 73 more
_无往而不胜_
关注
专栏目录
shiro 实现多种方式登录_shiro实现单点登录(一个用户同一时刻只能在一个地方登录)...
weixin_39708636的博客
12-28 1071
我这里 shiro 并没有集成 springMVC,直接使用 ini 配置文件。shiro.ini[main]# Objects and their properties are defined here,# Such as the securityManager, Realms and anything# else needed to build the SecurityManagerauthc...
shiro实现单点登录
kris_lh123的博客
10-23 2988
需求:实现同一个账号同一个时刻只能在一个IP浏览器登录,后者把前者挤掉线。 实现:通过shiro的session管理机制进行实现。 我的理解:shrio有一套sessionmanager的管理器,用来管理登录用户的session。不同的用户每次登录都会生成一个sessionid,保存在shrio框架中。我只需要实现根据登录用户的账号,判断正在登录的用户session是否已经存在于当前活跃的sess...
第十五章 单点登录——《跟我学Shiro
每天积累一点,一年后你会发现,自己变化很大
12-26 1399
Shiro 1.2开始提供了Jasig CAS单点登录的支持,单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。此处我们使用Jasig CAS v4.0.0-RC3版本: https://github.com/Jasig/cas/tree/v4.0.0-RC3   Jasig CAS单点登录系统分为服务器端和客户端,服务
单点登录(SSO)详解——超详细
最新发布
modi000的博客
08-19 2586
当然仅此是不够的,因为不同的应用系统有着不同的域名,尽管 Session 共享了,但是由于 Session ID 是往往保存在浏览器 Cookie 中的,因此存在作用域的限制,无法跨域名传递,也就是说当用户在 app1.com 中登录后,Session ID 仅在浏览器访问 app1.com 时才会自动在请求头中携带,而当浏览器访问 app2.com 时,Session ID 是不会被带过去的。用户统一在认证中心进行登录,登录成功后,认证中心记录用户的登录状态,并将 Token 写入 Cookie。
shiro实现单点登录(一个用户同一时刻只能在一个地方登录)
09-01
主要介绍了shiro实现单点登录(一个用户同一时刻只能在一个地方登录)的相关资料,非常不错,具有参考借鉴价值,感兴趣的朋友一起学习吧
Springboot+shiro单点登录实现.md
09-15
Springboot+shiro单点登录实现,本文档是单点登录的全部源代码。
cas结合 springmvc shiro 单点登录
04-30
在IT行业中,单点登录(Single Sign-On, SSO)是一种常见的身份验证机制,它允许用户在一个系统上登录后,无需再次认证即可访问其他多个相互信任的系统。本项目是关于如何将CAS(Central Authentication Service)与...
cas.rar_67194com_67194。com_CAS_cas单点demo_shiro 单点登录
09-15
"cas单点demo"和"shiro_单点登录"则明确表示这是一个关于CAS和Shiro单点登录的示例项目。 总的来说,这个项目展示了如何利用CAS的单点登录功能,结合Spring MVC的控制能力以及Shiro的权限管理,实现一个全面的身份...
cas-shiro单点登录
11-06
本项目"cas-shiro单点登录"是基于Spring框架,利用Apache Shiro安全库和Jasig CAS(Central Authentication Service)服务器实现的SSO解决方案。下面将详细介绍这个项目的实施过程和涉及的关键知识点。 首先,...
CAS整合Shiro单点登录企业级实战(基于Java,附源码)
06-20
Cas的全称是Centeral Authentication Service,是对单点登录SSO(Single Sign On)的一种实现。其由Cas Server和Cas Client两部分组成,Cas Server是核心,而Cas Client通常就对应于我们的应用。一个Cas Server可以...
shiro 单点登录.docx
06-13
shiro 单点登录 shiro 单点登录
JavaWeb跨域单点登录
08-06
1、该代码,使用maven构建的模块化项目工程,ssm框架,直接import --> existing maven projects 即可 2、数据库使用的是pgsql,搭建测试的时候,自行修改登录接口即可 3、开发环境搭建可以参考 https://blog.csdn.net/weixin_42686388/article/details/81031142 4、单点登录教程可以参考 https://blog.csdn.net/weixin_42686388/article/details/81299609
shiro 单点登录实现
qq_43558992的博客
11-25 1489
shiro 单点登录实现 1.部署shiro cas server(实测有用博客) https://blog.csdn.net/mengmei16/article/details/52597468 2.实现登录数据可配化 参考博客 https://blog.csdn.net/c1481118216/article/details/80402622 实现shiro server 连接mysql...
shiro框架实现单点登录
大JAVA解决方案
08-07 5900
shiro框架实现单点登录 2018年04月16日 15:38:19 阅读数:460 import org.apache.shiro.session.Session; import org.apache.shiro.session.mgt.eis.SessionDAO; public class MyShiroRealm extends AuthorizingRealm { ...
Shiro第十五章-单点登录
海恩的博客
04-30 218
简介 Shiro 1.2开始支持Jasig CAS单点登录。 作用:用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无需多次登录。 服务器下载 Jasig CAS分为服务器端和客户端,服务器提供用户验证。访问需要登录的页面,自动跳转单点登录服务器:https://localhost:8443/server/login?service=原url,单点登录采...
shiro多系统单点登录
m0_67394006的博客
08-24 1145
最近做项目遇到了多个系统权限用的是shiro框架,需要做成单点登录,虽然shiro单点登录提供了shiro-cas的方案,但是不太符合我们现有项目的框架,现在和大家分享一下我是如何实现单点登录。浏览器执行步骤4中返回js,此时访问系统A时携带的cookie中的sessionid是在单点登录系统登录的sessionid,A系统ssoFilter发现该用户已登录允许访问本系统资源。登录服务器判断当前用户是否登录如果该用户登录则重定向到用户访问。业务系统A中的SSOFilter。用户第一次访问系统A。
关于shiro单点登录的问题
m0_67390788的博客
04-28 496
本文转载至:http://www.cnblogs.com/coderhuang/p/5897444.html spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次 项目源码:https://github.com/coder-huang/sso-shiro-cas 系统模块说明 cas: 单点登录模块,这里直接拿的是cas的项目改了点样式而已 doc: 文档目录,里面有数据库生成语句,采用的是MySQL5.0,数据库名为db_test spring-node-1: 应用1
shiro 单点登录
07-28
Shiro 是一个强大且易于使用的 Java 安全框架,它提供了身份验证、授权、加密和会话管理等功能,可以用于实现单点登录(Single Sign-On,简称 SSO)。 在 Shiro 中实现单点登录,你可以使用 Shiro 提供的集成模块或自定义实现。一种常见的方式是使用 Shiro 的 Session 管理功能和 Web 过滤器,结合使用其他技术(如 Cookie 或 Token)来实现单点登录。 具体实现步骤可以简述如下: 1. 配置 Shiro 的 Session 管理,可以选择使用默认的 Session 管理器或自定义实现。 2. 配置 Shiro 的 Web 过滤器,用于拦截用户请求并进行身份验证和授权。 3. 在登录页面进行身份验证,验证通过后创建用户的身份信息,并将其存储在 Session 中。 4. 在其他系统或应用中,配置与上述步骤相同的 Shiro 配置和 Web 过滤器。 5. 用户访问其他系统时,Web 过滤器会拦截请求并检查用户的身份信息。如果用户已经登录过,则无需再次验证,直接允许访问。 需要注意的是,Shiro 只负责身份验证和授权的功能,单点登录还需要其他组件或技术的支持,比如使用 Token 或者集成第三方认证服务。 希望以上信息能够对你有所帮助,如果有更多问题,请继续提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_无往而不胜_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值