Apache shiro(3)―cas + shiro配置說明
來源:程序員人生 發(fā)布時(shí)間:2015-02-06 09:08:17 閱讀次數(shù):5483次
這篇博客我們還是繼續(xù)講如何使用,其他的我自己還需要1些時(shí)間來消化。這次由于項(xiàng)目的需要,將登錄從shiro中抽出來交給cas來驗(yàn)證。Shiro,只負(fù)責(zé)權(quán)限的驗(yàn)證。shiro在1.2版本以后加入了對(duì)cas的支持。我們先從cas入手……
SSO的概念
單點(diǎn)登錄( Single Sign-On , 簡(jiǎn)稱 SSO )是目前比較流行的服務(wù)于企業(yè)業(yè)務(wù)整合的解決方案之1, SSO就是1次登錄,就能夠訪問多個(gè)相互信任的利用。而cas只是這類解決方案的1種實(shí)現(xiàn)。
這么說吧:大家應(yīng)當(dāng)都去過游樂場(chǎng),通常會(huì)賣通票。就是買1張票,就能夠玩游樂場(chǎng)中的所有項(xiàng)目,而不用玩1項(xiàng)買1項(xiàng)的票。這就是單點(diǎn)登錄最直白的理解了:“通票”。
原理:
ok,下面就看1下,shiro+cas以后的認(rèn)證進(jìn)程。圖里的票據(jù)指的是,第3步用戶的驗(yàn)證信息通過驗(yàn)證后,cas服務(wù)器隨機(jī)生成的1個(gè)唯1的身份標(biāo)識(shí)。這個(gè)票據(jù)會(huì)被存儲(chǔ)在閱讀器的cookie中。注:這里只是直白的說法,后面會(huì)有博客詳細(xì)這部份的進(jìn)程。
下圖,表明的是1個(gè)web利用的登錄進(jìn)程,這時(shí)候候用戶訪問第2個(gè)利用時(shí)可以直接拿閱讀器中的cookie去cas認(rèn)證,由于利用1已證過了。因此用戶訪問第2個(gè)利用時(shí)就不需要重新登陸了。
Spring-shiro.xml的配置:
上面大概的說了1下,cas的驗(yàn)證原理。下面就看看cas和shiro集成的配置。這個(gè)是基于前1篇博客的,如果不記得可以翻看前1篇博客。1下配置都已本地為例:
首先,引入Jar包。shiro-cas⑴.2.3.jar、cas-client-core⑶.2.0.jar
然后,在Spring - shiro.xml修改以下配置:
- 第1:shiroSecurityFilter修改成:
<property name="loginUrl" value="http://localhost:18080/cas/login?service=http://localhost:8080/authority-web/shiro-cas"> </property>
<property name="successUrl" value="http://localhost:8080/authorityn-web/index.jsp"></property>
<property name="filters">
<map> <!--添加cas的過濾器到shiro -->
<entry key="casFilter">
<bean class="org.apache.shiro.cas.CasFilter">
<!--配置驗(yàn)證毛病時(shí)的失敗頁(yè)面 /main 為系統(tǒng)登錄頁(yè)面 -->
<property name="failureUrl" value="/message.jsp" />
</bean>
</entry>
</map>
</property>
<!-- 過濾器鏈,要求url對(duì)應(yīng)的過濾器 -->
<property name="filterChainDefinitions">
<value>
/message.jsp=anon
/logout=logout <!--shiro登出過濾器,清算shiro存儲(chǔ)的緩存,用戶信息等 -->
/shiro-cas=casFilter <!--cas的過濾器的攔截規(guī)則 -->
<!--驗(yàn)證所有要求,如果shiro中不存在用戶信息,則返回到loginUrl的登錄頁(yè)面 -->
/** =user
</value>
</property>
- 第2:shiroRealm的配置中添加兩個(gè)屬性,分別為cas服務(wù)器的登錄地址和cas客戶真?zhèn)€入口即會(huì)被攔截的地址:
<property name="casServerUrlPrefix" value="http://localhost:18080/cas"></property>
<property name="casService" value="http://localhost:8080/authorityn-web/shiro-cas"></property>
- 第3:在securityManager的配置中加入屬性:
<property name="subjectFactory" ref="casSubjectFactory"></property>
- 第4:加入casSubjectFactory Bean的配置
<bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory" />
接著:Web.xml的配置,加入多點(diǎn)登出的配置,這里主要是從cas
服務(wù)器上清除用戶的登錄信息:
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<filter>
<filter-name>singleSignOutFilter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>singleSignOutFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
需要注意的是,這樣單點(diǎn)退出Shiro中的用戶信息是不會(huì)清除的,也就是說就算你點(diǎn)擊退出了。各個(gè)利用還是能夠正常訪問。這里首先需要在web.xml中配置項(xiàng)目的默許訪問地址和shiroSecurityFilter中的successUrl。否則可能會(huì)致使從退出到登錄頁(yè)面重新登錄找不到頁(yè)面的問題。那末退出的要求地址應(yīng)當(dāng)為:cas
服務(wù)器注銷地址+web利用退出地址作為參數(shù)。
http://localhst:18080/cas/logout?service=http://localhost:8080/itoo-authority-application-web/logout
總結(jié):cas和shiro的集成是將shiro的只能面對(duì)單個(gè)利用的登錄抽離出來,交給cas去驗(yàn)證。前面,說過cas的驗(yàn)證實(shí)際上是1個(gè)“通票”的概念。
生活不易,碼農(nóng)辛苦
如果您覺得本網(wǎng)站對(duì)您的學(xué)習(xí)有所幫助,可以手機(jī)掃描二維碼進(jìn)行捐贈(zèng)
