将 Apache Shiro 与 CAS SSO 服务器集成

• shiro-cas *模块用于保护具有Jasig CAS SSO 服务器的 Web 应用程序。它使启用 Shiro 的应用程序成为 CASClient 端。

对 CAS 协议的基本了解

• 如果要访问受 CASClient 端保护的应用程序，并且未在此应用程序中进行身份验证，则 CASClient 端会将您重定向到 CAS 服务器登录页面。 CAS 登录 URL 中的服务参数定义了用户要登录的应用程序。

http://application.examples.com/protected/index.jsp → HTTP 302 → https://server.cas.com/login?service=http://application.examples.com/shiro-cas

• 您填写登录名和密码，并在 CAS 服务器中进行身份验证，然后 CAS 服务器使用 URL 中的服务凭单将用户重定向到应用程序(服务 URL)。服务票证是一种短暂的一次性令牌，可以在 CAS 服务器上兑换为用户标识符(以及可选的用户属性)。

https://server.cas.com/login?service=http://application.examples.com/shiro-cas → HTTP 302 → http://application.examples.com/shiro-cas?ticket=ST-4545454542121-cas

• 应用程序直接询问 CAS 服务器服务票证是否有效，并且 CAS 服务器通过已验证用户的身份进行响应。通常，CASClient 端会将用户转发到最初调用的受保护页面。

http://application.examples.com/shiro-cas?ticket=ST-4545454542121-cas → HTTP 302 → http://application.examples.com/protected/index.jsp

如何配置 shiro 以与 CAS 服务器一起使用？

Dependency

您需要在应用程序中添加* shiro-cas * Maven 依赖项：

<dependency>
    <groupId>org.apache.shiro</groupId>
    <artifactId>shiro-cas</artifactId>
    <version>version</version>
</dependency>

(version> = 1.2.0)。

CasFilter

您必须定义应用程序的服务 URL(必须也在 CAS 服务器中声明)。该 URL 将用于接收 CAS 服务凭单。例如：http://application.examples.com/shiro-cas

在 shiro 配置中，您必须定义CasFilter：

[main]
casFilter = org.apache.shiro.cas.CasFilter
casFilter.failureUrl = /error.jsp

(当服务票证验证失败时，将调用失败 url)。

以及可以使用的网址：

[urls]
/shiro-cas = casFilter

这样，当 CAS 服务器使用有效的服务票证(认证后)将用户重定向到应用程序服务 URL(/shiro-cas)时，此过滤器将接收服务票证并创建一个CasToken，供用户使用CasRealm。

CasRealm

CasRealm使用CasFilter创建的CasToken通过针对 CAS 服务器验证 CAS 服务票证来认证用户。

在 shiro 配置中，您必须添加CasRealm：

[main]
casRealm = org.apache.shiro.cas.CasRealm
casRealm.defaultRoles = ROLE_USER
#casRealm.defaultPermissions
#casRealm.roleAttributeNames
#casRealm.permissionAttributeNames
#casRealm.validationProtocol = SAML
casRealm.casServerUrlPrefix =https://server.cas.com/ casRealm.casService =http://application.examples.com/shiro-cas

• casServerUrlPrefix *是 CAS 服务器的 URL(例如：https://server.cas.com)。
• casService *是应用程序服务 URL，应用程序接收 URL 的 URL 将接收 CAS 服务票证(例如：http://application.examples.com/shiro-cas)。
• validationProcol *可以是 SAML 或 CAS(默认)：属性和“记住我”的信息仅通过 SAML 验证协议提供(特定的自定义除外)。它取决于 CAS 服务器的版本：SAML 协议可以与 CAS 服务器版本> = 3.1 一起使用。

<dependency>
    <groupId>commons-codec</groupId>
    <artifactId>commons-codec</artifactId>
</dependency>
<dependency>
    <groupId>org.opensaml</groupId>
    <artifactId>opensaml</artifactId>
    <version>1.1</version>
</dependency>
<dependency>
    <groupId>org.apache.santuario</groupId>
    <artifactId>xmlsec</artifactId>
    <version>1.4.3</version>
</dependency>

• defaultRoles *是 CAS 身份验证成功后赋予身份验证用户的默认角色。
• defaultPermissions *是 CAS 身份验证成功后赋予已身份验证用户的默认权限。
• roleAttributeNames *定义了从 CAS 响应接收到的属性的名称，这些属性定义了要提供给已认证用户的角色(角色以逗号分隔)。
• permissionAttributeNames *定义了从 CAS 响应中接收到的属性的名称，这些属性定义了赋予自定义用户的权限(权限以逗号分隔)。

CasSubjectFactory

在 CAS 服务器中，您可以具有“记住我”的支持。通过 SAML 验证或 CAS 定制验证来推送此信息。
要在 Shiro 中反映 CAS 记住我的状态，您必须在 Shiro 配置中定义一个特定的CasSubjectFactory：

[main]
casSubjectFactory = org.apache.shiro.cas.CasSubjectFactory
securityManager.subjectFactory = $casSubjectFactory

应用程序的安全性

最后，您必须定义应用程序的安全性。

在您的 Shiro 配置中，您必须使用角色来保护 url(例如)：

[urls]
/protected/** = roles[ROLE_USER]
/** = anon

如果用户未通过身份验证，则登录 URL 将在 CAS 服务器上使用应用程序服务 URL 进行定义：

[main]
roles.loginUrl = https://server.cas.com/login?service=http://application.examples.com/shiro-cas

这样，如果未通过身份验证并尝试访问*/protected/*** url，则会将您重定向到 CAS 服务器以进行身份验证。

完整的配置 samples

[main]
casFilter = org.apache.shiro.cas.CasFilter
casFilter.failureUrl = /error.jsp

casRealm = org.apache.shiro.cas.CasRealm
casRealm.defaultRoles = ROLE_USER
casRealm.casServerUrlPrefix =https://server.cas.com/ casRealm.casService =http://application.examples.com/shiro-cas 
casSubjectFactory = org.apache.shiro.cas.CasSubjectFactory
securityManager.subjectFactory = $casSubjectFactory

roles.loginUrl = https://server.cas.com/login?service=http://application.examples.com/shiro-cas 
[urls]
/shiro-cas = casFilter
/protected/** = roles[ROLE_USER]
/** = anon

History

*版本 1.2.0 ： shiro-cas *模块的第一个版本。