8990人阅读
java（34）
& & 这篇博客我们还是继续讲如何使用，其他的我自己还需要一些时间来消化。这次因为项目的需要，将登录从shiro中抽出来交给cas来验证。Shiro，只负责权限的验证。shiro在1.2版本之后加入了对cas的支持。我们先从cas入手……
& & 单点登录（ Single Sign-On , 简称 SSO ）是目前比较流行的服务于企业业务整合的解决方案之一， SSO就是一次登录，就可以访问多个互相信任的应用。而cas只是这种解决方案的一种实现。
& & 这么说吧：大家应该都去过游乐场，通常会卖通票。就是买一张票，就可以玩游乐场中的所有项目，而不用玩一项买一项的票。这就是单点登录最直白的理解了：“通票”。
& & ok，下面就看一下，shiro+cas之后的认证过程。图里的票据指的是，第三步用户的验证信息通过验证后，cas服务器随机生成的一个唯一的身份标识。这个票据会被存储在浏览器的cookie中。注：这里只是直白的说法，后面会有博客详细这部分的过程。
& & 下图，表明的是一个web应用的登录过程，这时候用户访问第二个应用时可以直接拿浏览器中的cookie去cas认证，因为应用1已经证过了。因此用户访问第二个应用时就不需要重新登陆了。
Spring-shiro.xml的配置：
& & 上面大概的说了一下，cas的验证原理。下面就看看cas和shiro集成的配置。这个是基于前一篇博客的，如果不记得可以翻看前一篇博客。一下配置都已本地为例：
& & 首先，引入Jar包。shiro-cas-1.2.3.jar、cas-client-core-3.2.0.jar
& & 然后，在Spring - shiro.xml修改如下配置：
第一：shiroSecurityFilter修改为：&
&property name=&loginUrl& value=&http://localhost:18080/cas/login?service=http://localhost:8080/authority-web/shiro-cas&& &/property&
&property name=&successUrl& value=&http://localhost:8080/authorityn-web/index.jsp&&&/property&
&property name=&filters&&
&map& &!--添加cas的过滤器到shiro
&entry key=&casFilter&&
&bean class=&org.apache.shiro.cas.CasFilter&&
&!--配置验证错误时的失败页面 /main 为系统登录页面 --&
&property name=&failureUrl& value=&/message.jsp& /&
&/property&
&!-- 过滤器链，请求url对应的过滤器 --&
&property name=&filterChainDefinitions&&
/message.jsp=anon
/logout=logout
&!--shiro登出过滤器，清理shiro存储的缓存，用户信息等
/shiro-cas=casFilter
&!--cas的过滤器的拦截规则
&!--验证所有请求，如果shiro中不存在用户信息，则返回到loginUrl的登录页面
&/property&
第二：shiroRealm的配置中添加两个属性，分别为cas服务器的登录地址和cas客户端的入口即会被拦截的地址：
&property name=&casServerUrlPrefix& value=&http://localhost:18080/cas&&&/property&
&property name=&casService& value=&http://localhost:8080/authorityn-web/shiro-cas&&&/property&
第三：在securityManager的配置中加入属性：
&property name=&subjectFactory& ref=&casSubjectFactory&&&/property&
第四：加入casSubjectFactory Bean的配置 & &&
&bean id=&casSubjectFactory& class=&org.apache.shiro.cas.CasSubjectFactory& /&
& & 接着：Web.xml的配置，加入多点登出的配置，这里主要是从cas服务器上清除用户的登录信息：
&listener&
&listener-class&org.jasig.cas.client.session.SingleSignOutHttpSessionListener&/listener-class&
&/listener&
&filter-name&singleSignOutFilter&/filter-name&
&filter-class&org.jasig.cas.client.session.SingleSignOutFilter&/filter-class&
&filter-mapping&
&filter-name&singleSignOutFilter&/filter-name&
&url-pattern&/*&/url-pattern&
&/filter-mapping&
& & 需要注意的是，这样单点退出Shiro中的用户信息是不会清除的，也就是说就算你点击退出了。各个应用还是能够正常访问。这里首先需要在web.xml中配置项目的默认访问地址和shiroSecurityFilter中的successUrl。否则可能会导致从退出到登录页面重新登录找不到页面的问题。那么退出的请求地址应该为：cas服务器注销地址+web应用退出地址作为参数。
http://localhst:18080/cas/logout?service=http://localhost:8080/itoo-authority-application-web/logout& & 总结：cas和shiro的集成是将shiro的只能面对单个应用的登录抽离出来，交给cas去验证。前面，说过cas的验证实际上是一个“通票”的概念。
参考知识库
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：247012次
积分：5902
积分：5902
排名：第3597名
原创：122篇
评论：1342条
阅读：9319
阅读：7554
文章：14篇
阅读：47356
(3)(2)(2)(2)(4)(3)(4)(3)(3)(4)(3)(3)(3)(4)(4)(4)(3)(3)(2)(3)(3)(2)(3)(3)(4)(3)(2)(4)(2)(4)(2)(2)(1)(1)(2)(4)(6)(6)(4)(3)来源：http://blog.csdn.net/swingpyzf/article/details// &&&&&/blog/2018936
什么是Apache Shiro
1、什么是 apache shiro ：
Apache Shiro是一个功能强大且易于使用的安全框架，提供了认证，授权，加密，和会话管理
如同&&security 一样都是是一个权限安全框架，但是与Spring Security相比，在于他使用了和比较简洁易懂的认证和授权方式。
2、Apache Shiro 的三大核心组件：
1、Subject ：【是谁在做一系列操作】
2、SecurityManager：【核心管理】用于管理所有的Subject
3、Realms：【数据来源】用于进行权限信息的验证，里面存放了【1.哪些用户】【2.用户的哪些权限】
Subject：主体，代表了当前&用户&，这个用户不一定是一个具体的人，与当前应用交互的任何东西都是Subject，如网络爬虫，机器人等；即一个抽象概念；所有Subject都绑定到SecurityManager，与Subject的所有交互都会委托给SecurityManager；可以把Subject认为是一个门面；SecurityManager才是实际的执行者；
SecurityManager：安全管理器；即所有与安全有关的操作都会与SecurityManager交互；且它管理着所有Subject；可以看出它是Shiro的核心，它负责与后边介绍的其他组件进行交互，如果学习过SpringMVC，你可以把它看成DispatcherServlet前端控制器；
Realm：域，Shiro从从Realm获取安全数据（如用户、角色、权限），就是说SecurityManager要验证用户身份，那么它需要从Realm获取相应的用户进行比较以确定用户身份是否合法；也需要从Realm得到用户相应的角色/权限进行验证用户是否能进行操作；可以把Realm看成DataSource，即安全数据源。
3、Authentication 和 Authorization
在shiro的用户权限认证过程中其通过两个方法来实现：
1、Authentication：身份认证，验证用户是否具有相应的身份。
2、Authorization：权限认证，【授权】，验证某个已经认证的用户是否拥有某些权限。
4、其他组件：
Subject：主体，可以看到主体可以是任何可以与应用交互的&用户&；
SecurityManager：相当于SpringMVC中的DispatcherServlet或者Struts2中的FilterDispatcher；是Shiro的心脏；所有具体的交互都通过SecurityManager进行控制；它管理着所有Subject、且负责进行认证和授权、及会话、缓存的管理。
Authenticator：认证器，负责主体认证的，这是一个扩展点，如果用户觉得Shiro默认的不好，可以自定义实现；其需要认证策略（Authentication Strategy），即什么情况下算用户认证通过了；
Authrizer：授权器，或者访问控制器，用来决定主体是否有权限进行相应的操作；即控制着用户能访问应用中的哪些功能；
Realm：可以有1个或多个Realm，可以认为是安全实体数据源，即用于获取安全实体的；可以是JDBC实现，也可以是LDAP实现，或者内存实现等等；由用户提供；注意：Shiro不知道你的用户/权限存储在哪及以何种格式存储；所以我们一般在应用中都需要实现自己的Realm；
SessionManager：如果写过Servlet就应该知道Session的概念，Session呢需要有人去管理它的生命周期，这个组件就是SessionManager；而Shiro并不仅仅可以用在Web环境，也可以用在如普通的JavaSE环境、EJB等环境；所有呢，Shiro就抽象了一个自己的Session来管理主体与应用之间交互的数据；这样的话，比如我们在Web环境用，刚开始是一台Web服务器；接着又上了台EJB服务器；这时想把两台服务器的会话数据放到一个地方，这个时候就可以实现自己的分布式会话（如把数据放到Memcached服务器）；
SessionDAO：DAO大家都用过，数据访问对象，用于会话的CRUD，比如我们想把Session保存到数据库，那么可以实现自己的SessionDAO，通过如JDBC写到数据库；比如想把Session放到Memcached中，可以实现自己的Memcached SessionDAO；另外SessionDAO中可以使用Cache进行缓存，以提高性能；
CacheManager：缓存控制器，来管理如用户、角色、权限等的缓存的；因为这些数据基本上很少去改变，放到缓存中后可以提高访问的性能
Cryptography：密码模块，Shiro提高了一些常见的加密组件用于如密码加密/解密的。
5、Shiro 完整架构图：
阅读(...) 评论()您要找的是不是:
the appearance of a city
velvet | velour | velutum | pile
Baoding Luzhu Tofu is a famous snack, which is more famous for Yang Shirong's Luzhu tofu.
卤煮豆腐是保定有名的小吃，其中杨世荣的卤煮豆腐较为有名。
China's rapid economic growth has transformed the country, says the BBC's China analyst Shirong Chen - but many migrant workers are struggling.
中国飞速增长的经济发展改变了乡村，BBC 中文记者陈时容说道，但是很多打工者仍然在挣扎。
See Fang Shirong, A Course of Case in Administrative Litigation Law, China University of Politic Science and Law Press, 235(1999).
参见方世荣主编：《行政诉讼法案例教程》，中国政法大学出版社1999年版，第235页。
Jia Shirong, a professor and member of the government's Safety Committee on Agricultural Biotechnology, is also on the board of a leading biotech company.
According to the BBC's China analyst, Shirong Chen, they have been pushed to the front of the queue not just because it is a huge public event that carries national pride, but because all the top leaders and dignitaries will be in Beijing.
$firstVoiceSent
- 来自原声例句
请问您想要如何调整此模块？
感谢您的反馈，我们会尽快进行适当修改！
请问您想要如何调整此模块？
感谢您的反馈，我们会尽快进行适当修改！