Shiro学习（六）：Shiro整合CAS实现单点登录

一、单点登录介绍

       单点登录（Single Sign On），简称为 SSO，是比较流行的企业业务整合的解决方案之一。

      SSO的定义是在多个[应用]，用户只需要登录一次就可以访问所有相互信任的应用系统。

      一般这种单点登录的实现方案，分为两种，即：中心化方式 与 去中心化方式；两者核心区别‘

     是对身份的认证操作是否集中。

1、中心化方式

      中心化所有认证请求统一交由一个中央认证服务器（中心）（如CAS Server、Keycloak、

      Okta）处理系统完全依赖该中心节点，以访问百度搜索为例看下中心化单点登录的认证流程，

      认证流程如下：

      

      1）用户访问“百度搜索”，被重定向到中央认证服务器登录，先发起认证请求

      2）认证通过后，服务器生成全局票据（如：Token），并返回给用户。

      3）用户访问“百度网盘”时，百度网盘应用向中央服务器验证Token有效性

      4）所有应用的认证状态由中央服务器统一维护（如Session或Token注销）

2、去中心化方式

      去中心化认证分散，无单一中心节点，依赖分布式协议或密码学技术实现信任传递；去中心

      化一般是通过JWT来实现的，以百度搜索为例看下去中心化的认证流程，如下所示：

      

      1）用户首次登录后，认证服务器签发一个自包含的JWT令牌（含用户信息、签名、过期时

            间）。

      2）用户访问“百度网盘”时直接携带JWT，“百度网盘”应用通过本地验证JWT令牌

      3）各应用独立验证JWT令牌有效性，无需实时依赖中心认证节点

3、中心化与去中心化的优缺点

     1）中心化方式：

           缺点：

               存在单点故障，单台服务的访问压力较大，每次请求认证身份都需要访问认证服务器，

               导致压力相对比较大，效率也比较低。

           优点：

               集中管理，用户权限、会话生命周期统一控制，安全性高。

              一致性，所有应用共享同一套认证逻辑，维护简单。

          中心化适用场景：

                  企业内部系统、封闭生态（如公司内网、校园网）

          中心化方式的实现方案：

                    （1）CAS

                    （2）SAML

                    （3）部分OAuth 2.0实现（如授权服务器集中管理）

      2）去中心化方式：

            缺点：

                    撤销困难，JWT过期前无法强制失效，需依赖短有效期或黑名单。

                    实现复杂，需处理分布式信任问题（如密钥分发、共识机制）  

            优点：

                    不存在单点故障，并且在访问时，可以减少网络IO所占用的时间，并且针对认证服务

                   器没有请求压力。去中心化的方式一般采用JWT实现

            适用场景：

                  区块链应用、物联网（IoT）、开放生态（如Web3）

二、搭建CAS服务

1、CAS介绍

      CAS是一个开源项目，CAS是应用于企业级别的单点登录的服务，CAS分为CAS Server，

      CAS Client；

      CAS Server是需要一个单独部署的Web工程

      CAS Client是一个项目中的具体业务服务，并且在需要认证或授权时，找到CAS Server即

      可整体CAS的认证和授权流程就是中心化的方式

    

2、搭建CAS

     CAS Server的5.x版本更改为使用gradle构建，平时更多的是使用Maven，这里采用CAS的4.x

     版本

     下载CAS：https://github.com/apereo/cas/archive/refs/tags/v4.1.10.zip

      CAS下载完成后使用IDEA打开CAS Server，并修改一些配置信息，将CAS Server进行打包，

      扔到Tomcat服务中运行   

2.1、使用IDEA打开CAS

        CAS下载后，我们只需要关注 cas-server-webapp 

        CAS默认只支持HTTPS协议，我们需要修改一些配置，让CAS支持http，具体修改如下

        1）修改 Apereo-10000002.json

              将 Apereo-10000002.json 中的serviceId的值修改成匹配Http协议

              

        2）HTTPSandIMAPS-10000001.json

             将 HTTPSandIMAPS-10000001.json 中的serviceId的值修改成匹配Http协议

             

       3）ticketGrantingTicketCookieGenerator.xml

            将id=ticketGrantingTicketCookieGenerator 的<bean> 中的 p:cookieSecure 修改为false

            

       4）warnCookieGenerator.xml

             将id=warnCookieGenerator的<bean> 中的 p:cookieSecure 修改为false

             

       5）deployerConfigContext.xml

            在deployerConfigContext.xml中id=proxyAuthenticationHandler的<bean>中追加 

            p:requireSecure="false"

            

2.2、将项目进行打包，采用项目中的Maven插件，war的形式打包

         执行plugins中提供的war:war执行打包

2.3、将war包扔到Tomcat的webapps里，并运行即可

2.4、访问CAS Server首页，并且完成认证

         1）配置CAS默认用户名和密码

              

         2）浏览器访问http://localhost:8080/cas/login 访问CAS登录页面

              

              

三、Shiro + pac4j + CAS 实现单点登录

       注意：

            1）CAS只是用来做认证，授权还是要基于前边的Shiro

            2）shiro-cas 依赖包中虽然提供了基于CAS的Relam类 CasRelam ，但该类在1.2版本后

                  已经过期，不建议使用；CasRelam 中的注释中建议使用 buji-pac4j 提供的CasRelam

1、Shiro + pac4j + CAS 认证流程

     本质上和ShiroWeb的流程没有变化，只不过内部使用的一些Realm和过滤器交由pac4j提供；

     认证流程如下图所示：

     

     

 2、Shiro + pac4j + CAS 认证实现步骤

1）准备Spring boot环境，省略

3）导入依赖

 <dependency><groupId>org.apache.shiro</groupId><artifactId>shiro-spring</artifactId><version>1.4.0</version></dependency><dependency><groupId>io.buji</groupId><artifactId>buji-pac4j</artifactId><version>4.0.0</version></dependency><dependency><groupId>org.pac4j</groupId><artifactId>pac4j-cas</artifactId><version>3.0.2</version></dependency></dependencies>

3）CAS必要相关配置

      

4）定义Relam

    定义 CasRelam，注意与前边springboot 整合shiro中的Relam 的区别；CasRelam 需要继

   承 Pac4j包下的 Pac4jRealm；Pac4jRealm已经实现了具体的认证流程，我们不需要重写认证；

   但授权流程需要我们重写；因为CAS只做认证，授权还是由Shiro 完成的，所以授权可以把前边

   CustRelam 中的授权方法直接拿过来，这里就省略了。

   示例代码如下：

/*** 自定义基于CAS的Relam，继承 Pac4jRealm** todo 注意：*    认证方法直接用父类 中的认证方法doGetAuthenticationInfo，不需要重写*    授权需要自己编写，授权操作跟前边 Shiro 授权操作一致，可以把前边的CustRelam 中的授权直接拿过来*/
@Component
public class CasRealm extends Pac4jRealm {/*** 授权操作，需要自己编写，并且也可以基于RedisSessionDAO实现缓存……* 授权操作跟前边 Shiro 授权操作一致，可以把前边的CustRelam 中的授权直接拿过来** @param principals* @return*/@Overrideprotected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {// do something , find DB or Cachereturn null;}
}

5）配置Shiro

     在与 Pac4j 的配置中，与前边Springboot-shiro 的配置差不多，需要注意的是：

          （1）Subject 是使用CAS的，所以需要手动注入 SubjectFactory 工厂类，用于创建Subject

          （2）因为我们导入的包不是 spring-boot-shiro shiro整合springboot 的包，所以需要自己手

                   动配置过滤器，并指定过滤器名称为 “shiroFilter”类似于我们在shiro整合Web 时，在

                   web.xml配置的名称为“shiroFilter”的过滤器  proxyAuthenticationHandler

     Shiro配置如下：

@Configuration
public class ShiroConfig {//CAS服务地址@Value("${cas.server.url:http://localhost:8080/cas}")private String casServerUrl;@Value("${cas.project.url:http://localhost:81}")private String casProjectUrl;@Value("${cas.clientName:test}")private String clientName;/***  主体工厂*  todo 注意：*       这里认证时，Subject 需要使用 Pac4j 中的，所以这里需要手动注入*       Pac4j 包中的 SubjectFactory 用于生成 Subject*       将 SubjectFactory 交给 SecurityManager 管理* @return*/@Beanpublic SubjectFactory subjectFactory(){return new Pac4jSubjectFactory();}/*** 安全管理器* todo 注意： 还是使用shiro包下的 SecurityManager** @param casRealm* @param subjectFactory Subject 需要使用 Pac4j 中的SubjectFactory，用于生成 Subject* @return*/@Beanpublic SecurityManager securityManager(CasRealm casRealm,SubjectFactory subjectFactory){DefaultWebSecurityManager securityManager = new DefaultWebSecurityManager();securityManager.setRealm(casRealm);securityManager.setSubjectFactory(subjectFactory);return securityManager;}/*** 配置核心过滤器* 因为我们导入的包不是 spring-boot-shiro shiro整合springboot 的包，所以需要自己* 手动配置过滤器，并指定过滤器名称为 “shiroFilter”* 类似于我们在shiro整合Web 时，在web.xml配置的名称为“shiroFilter”的过滤器** @return*/@Beanpublic FilterRegistrationBean filterRegistrationBean(){FilterRegistrationBean filterRegistration =new FilterRegistrationBean();filterRegistration.setFilter(new DelegatingFilterProxy("shiroFilter"));filterRegistration.addUrlPatterns("/*");return filterRegistration;}/*** shiroFilter核心配置* @return*/@Beanpublic ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager, Config config){ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean();factoryBean.setSecurityManager(securityManager);putFilterChain(factoryBean);// 声明好pac4j提供的过滤器后Map<String, Filter> filters = factoryBean.getFilters();//1. 准备SecurityFilterSecurityFilter securityFilter = new SecurityFilter();securityFilter.setConfig(config);securityFilter.setClients(clientName);filters.put("security",securityFilter);//2. 设置回调的拦截器CallbackFilter callbackFilter = new CallbackFilter();callbackFilter.setConfig(config);callbackFilter.setDefaultUrl(casProjectUrl);filters.put("callback",callbackFilter);//3. 退出登录LogoutFilter logoutFilter = new LogoutFilter();logoutFilter.setConfig(config);logoutFilter.setCentralLogout(true);logoutFilter.setLocalLogout(true);logoutFilter.setDefaultUrl(casProjectUrl + "/callback?client_name=" + clientName);filters.put("logout",logoutFilter);return factoryBean;}/*** 构建过滤器链* @param factoryBean*/private void putFilterChain(ShiroFilterFactoryBean factoryBean) {Map<String,String> filterChain = new LinkedHashMap<>();// 后面在声明好pac4j提供的过滤器后，需要重新设置！filterChain.put("/test","security");filterChain.put("/logout","logout");filterChain.put("/callback","callback");//采用 pac4j提供的过滤器进行校验//filterChain.put("/**","security");//放行，shiro的过滤器filterChain.put("/**","anon");factoryBean.setFilterChainDefinitionMap(filterChain);}}

6）自定义 CasClient

     自定义需要继承类  CasClientorg.pac4j.cas.client.CasClient，并重写方法getRedirectAction，

     用于处理退出后的重定向，让点击退出登录时，重定向到登录页面，示例代码如下：

     

public class CasClient extends org.pac4j.cas.client.CasClient {public CasClient() {super();}public CasClient(CasConfiguration configuration) {super(configuration);}@Overridepublic RedirectAction getRedirectAction(final WebContext context) {init();AjaxRequestResolver ajaxRequestResolver = getAjaxRequestResolver();RedirectActionBuilder redirectActionBuilder = getRedirectActionBuilder();// it's an AJAX request -> appropriate actionif (ajaxRequestResolver.isAjax(context)) {logger.info("AJAX request detected -> returning the appropriate action");RedirectAction action = redirectActionBuilder.redirect(context);cleanRequestedUrl(context);return ajaxRequestResolver.buildAjaxResponse(action.getLocation(), context);}// authentication has already been tried -> unauthorizedfinal String attemptedAuth = (String) context.getSessionStore().get(context, getName() + ATTEMPTED_AUTHENTICATION_SUFFIX);if (CommonHelper.isNotBlank(attemptedAuth)) {cleanAttemptedAuthentication(context);cleanRequestedUrl(context);// 跑抛出异常，页面401,只修改这个位置！！// throw HttpAction.unauthorized(context);return redirectActionBuilder.redirect(context);}return redirectActionBuilder.redirect(context);}private void cleanRequestedUrl(final WebContext context) {SessionStore<WebContext> sessionStore = context.getSessionStore();if (sessionStore.get(context, Pac4jConstants.REQUESTED_URL) != null) {sessionStore.set(context, Pac4jConstants.REQUESTED_URL, "");}}private void cleanAttemptedAuthentication(final WebContext context) {SessionStore<WebContext> sessionStore = context.getSessionStore();if (sessionStore.get(context, getName() + ATTEMPTED_AUTHENTICATION_SUFFIX) != null) {sessionStore.set(context, getName() + ATTEMPTED_AUTHENTICATION_SUFFIX, "");}}
}

7）配置Pac4j

@Configuration
public class Pac4jConfig {//cas服务地址@Value("${cas.server.url:http://localhost:8080/cas}")private String casServerUrl;//CA回调地址@Value("${cas.project.url:http://localhost:81}")private String casProjectUrl;//客户端名称@Value("${cas.clientName:test}")private String clientName;/*** 核心Config* CAS服务的配置信息** @param casClient* @return*/@Beanpublic Config config(CasClient casClient){Config config = new Config(casClient);return config;}/*** casClient，主要设置回调* @param casConfiguration* @return*/@Beanpublic CasClient casClient(CasConfiguration casConfiguration){CasClient casClient = new CasClient(casConfiguration);// 设置CAS访问后的回调地址casClient.setCallbackUrl(casProjectUrl + "/callback?client_name=" + clientName);casClient.setName(clientName);return casClient;}/*** CAS服务地址* @return*/@Beanpublic CasConfiguration casConfiguration(){CasConfiguration casConfiguration = new CasConfiguration();// 设置CAS登录页面casConfiguration.setLoginUrl(casServerUrl + "/login");// 设置CAS协议casConfiguration.setProtocol(CasProtocol.CAS20);//设置请求前缀，必须加“/”casConfiguration.setPrefixUrl(casServerUrl + "/");//true表示允许代理casConfiguration.setAcceptAnyProxy(true);return casConfiguration;}}

8）测试