H阿布
H阿布

pac4j探索(二): buji-pac4j+Cas+Shiro+SpringMvc实现单点登录

在pac4j探索的上一篇文章大致讲述了一下buji-pac4j+CAS的认证流程。这里记录一下本人实现的最简单的单点登录,仅作为笔记、学习交流之用,戳这里获取本文源码。

一、项目框架
1、 buji-pac4j(v.3.0.0)
2、shiro (v.1.4.0)
3、springmvc (v.4.3.2)
4、CAS (v.4.2.6)
5、pac4j-cas(v.2.2.1)

在maven项目的pom.xml里配置以上相关依赖,具体依赖配置可以查看我的项目,这里不再赘述。

二、目录结构
客户端项目(pac4jtest1)目录结构如下:
pac4j探索(二): buji-pac4j+Cas+Shiro+SpringMvc实现单点登录_第1张图片
1、java文件目录中,Redirect2CasLoginFilter是测试用的,可以不管,MyCasClient类是继承自CasClient的自定义客户端,ShiroCasLogoutHandler类是单点登出时对shiro的一些操作,Controller类是请求控制器,util包里的是单点登出相关的类;

2、配置文件目录中,log4j.properties是日志管理文件,url.properties配置了项目中用到的各种url,spring-comm.xml配置了shiro集成pac4j的配置,spring-mvc.xml是springmvc的相关配置;

3、另外还有个index.jsp,就是受保护的页面,请求访问前需要先认证。

二、springMvc配置
这里springmvc作最简单的配置:

      
    <context:component-scan base-package="com.pac4j.rest"/>  

      
    <mvc:annotation-driven />  

      
    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">  
        <property name="prefix" value="/WEB-INF/jsp/"/>  
        <property name="suffix" value=".jsp"/>  
        <property name="viewClass" value="org.springframework.web.servlet.view.JstlView" />  
    bean>  

        
    <mvc:resources mapping="/images/**" location="/WEB-INF/images/"/>  
    <mvc:resources mapping="/js/**" location="/WEB-INF/js/" />  
    <mvc:resources mapping="/css/**" location="/WEB-INF/css/"/>

三、pac4j配置
spring-comm.xml是shiro整合pac4j的配置,具体配置如下:


     <bean id="propertyConfigurer" class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
        <property name="locations">
            <list>
                <value>/WEB-INF/classes/url.propertiesvalue>
            list>
        property>
    bean>

    
    
    <bean id="casConfig" class="org.pac4j.cas.config.CasConfiguration">
        
       <property name="loginUrl" value="${sso.cas.server.loginUrl}">property>
        
       <property name="prefixUrl" value="${sso.cas.server.prefixUrl}">property>
        
        <property name="logoutHandler" ref="casLogoutHandler">property>
    bean>

    
    <bean id="casClient" class="com.pac4j.client.MyCasClient">
        <constructor-arg ref="casConfig" />
        <property name="includeClientNameInCallbackUrl" value="false">property>
        
        <property name="callbackUrl" value="${sso.cas.client.callbackUrl}">property>
    bean>

    
    <bean id="casLogoutHandler" class="com.pac4j.handler.ShiroCasLogoutHandler">
       <property name="destroySession" value="true">property>
    bean>

    <bean id="sessionStore" class="com.pac4j.util.MyShiroSessionStore">bean>

    
    <bean id="authcConfig" class="org.pac4j.core.config.Config">
        <constructor-arg ref="casClient">constructor-arg>
        <property name="sessionStore" ref="sessionStore">property>
    bean>


    

    <bean id="sessionIdGenerator"
        class="org.apache.shiro.session.mgt.eis.JavaUuidSessionIdGenerator" />

    <bean id="sessionIdCookie" class="org.apache.shiro.web.servlet.SimpleCookie">
        <constructor-arg value="sid" />
        <property name="httpOnly" value="false" />
        <property name="maxAge" value="180000" />
        <property name="path" value="/" />
    bean>

    <bean id="sessionDAO"   
        class="org.apache.shiro.session.mgt.eis.MemorySessionDAO">  
        <property name="sessionIdGenerator" ref="sessionIdGenerator"/>  
    bean> 

    <bean id="sessionValidationScheduler"
        class="org.apache.shiro.session.mgt.quartz.QuartzSessionValidationScheduler">
        <property name="sessionValidationInterval" value="1800000" />
        <property name="sessionManager" ref="sessionManager" />
    bean>

    <bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
        <property name="globalSessionTimeout" value="1800000" />
        <property name="deleteInvalidSessions" value="true" />
        <property name="sessionValidationSchedulerEnabled" value="true" />
        <property name="sessionValidationScheduler" ref="sessionValidationScheduler" />
        <property name="sessionDAO" ref="sessionDAO" />
        <property name="sessionIdCookieEnabled" value="true" />
        <property name="sessionIdCookie" ref="sessionIdCookie" />
    bean> 

    
    <bean id="pac4jSubjectFactory" class="io.buji.pac4j.subject.Pac4jSubjectFactory">bean>

    
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realm">
            <bean class="io.buji.pac4j.realm.Pac4jRealm">
                <property name="cachingEnabled" value="false" />
                <property name="authenticationCachingEnabled" value="false" />
                <property name="authenticationCacheName" value="authenticationCache" />
                <property name="authorizationCachingEnabled" value="false" />
                <property name="authorizationCacheName" value="authorizationCache" />
            bean>
        property>

        <property name="subjectFactory" ref="pac4jSubjectFactory">property>

    bean>

    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager">property>
        <property name="filters">
            <util:map>
                
                <entry key="casSecurityFilter">
                    <bean class="io.buji.pac4j.filter.SecurityFilter">
                        <property name="config" ref="authcConfig">property>
                        <property name="clients" value="MyCasClient">property>
                    bean>
                entry>
                
                <entry key="callback">
                    <bean class="io.buji.pac4j.filter.CallbackFilter">
                        <property name="config" ref="authcConfig">property>
                        <property name="defaultUrl" value="${sso.cas.client.successUrl}">property>
                    bean>
                entry>
                
                <entry key="logout">
                    <bean id="logout" class="io.buji.pac4j.filter.LogoutFilter">
                        <property name="defaultUrl" value="${sso.cas.client.callbackUrl}">property>
                        <property name="config" ref="authcConfig">property>
                        <property name="centralLogout" value="true">property>
                        <property name="localLogout" value="false">property>
                    bean>
                entry>
                
                <entry key="login">
                     <bean class="com.pac4j.filter.Redirect2CasLoginFilter">bean>
                entry>

            util:map>
        property>

        <property name="filterChainDefinitions">
            <value>
                /index = casSecurityFilter
                /logout = logout
                /callback = callback
                /login** = login
                /login/** = login
            value>
        property>

    bean>

    
    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor" />

    <bean id="annotationProxy"
        class="org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator"
        depends-on="lifecycleBeanPostProcessor">
        <property name="proxyTargetClass" value="true" />
    bean>

关于shiro的相关知识,在这里不再赘述,因为不属于本文的讨论范围。需要留意的是,以上配置在原来一般的shiro配置基础上,除了增加pac4j的配置,还修改了一下原来shiro的配置,具体变更如下:

  • 原来的CasFilter被替换成CallbackFilter
  • CasRealm被替换成Pac4jRealm
  • 当一个url需要被保护时(需要经过认证、鉴权),不仅需要使用shiro默认的过滤器,而且必须使用SecurityFilter。

四、url.properties
在spring-comm.xml会用到的一些路径:

##cas服务前缀
sso.cas.server.prefixUrl=http://localhost:8080/hgretail.authc/
##cas服务登录url
sso.cas.server.loginUrl=http://localhost:8080/hgretail.authc/login

##cas客户端回调地址
sso.cas.client.callbackUrl=http://localhost:8080/pac4jtest1/callback?client_name=MyCasClient
##cas服务端成功跳转地址
sso.cas.client.successUrl=http://localhost:8080/pac4jtest1/index

五、MyCasClient
这个类是继承自CasClient的,因为其超类IndirectClient中的getRedirectAction方法用起来有问题,报401异常,所以写了这个类,覆盖getRedirectAction方法,屏蔽掉异常代码。以后思考一下是否有更好的解决办法。

public class MyCasClient extends CasClient {

    public MyCasClient(final CasConfiguration configuration) {
        super(configuration);
    }

    /*
     * (non-Javadoc)    
     * @see org.pac4j.core.client.IndirectClient#getRedirectAction(org.pac4j.core.context.WebContext)
     */
    @Override
    public RedirectAction getRedirectAction(WebContext context) throws HttpAction {
         init(context);
            // it's an AJAX request -> unauthorized (with redirection url in header)
            if (getAjaxRequestResolver().isAjax(context)) {
                logger.info("AJAX request detected -> returning 401");
                RedirectAction action = getRedirectActionBuilder().redirect(context);
                cleanRequestedUrl(context);
                throw HttpAction.unauthorized("AJAX request -> 401", context, null, action.getLocation());
            }
            // authentication has already been tried -> unauthorized
            //FIXME 以下这段代码在org.pac4j.cas.client.CasClient中会出现401错误,所以在这里屏蔽掉。以后寻求更好的解决办法。
//          final String attemptedAuth = (String) context.getSessionAttribute(getName() + ATTEMPTED_AUTHENTICATION_SUFFIX);
//          if (CommonHelper.isNotBlank(attemptedAuth)) {
//              cleanAttemptedAuthentication(context);
//              cleanRequestedUrl(context);
//              throw HttpAction.unauthorized("authentication already tried -> forbidden", context, null, null);
//          }

            return getRedirectActionBuilder().redirect(context);
    }

    private void cleanRequestedUrl(final WebContext context) {
        context.setSessionAttribute(Pac4jConstants.REQUESTED_URL, "");
    }

}

六、ShiroCasLogoutHandler
ShiroCasLogoutHandler继承于DefaultCasLogoutHandler。用于单点登出的时候shiro的一系列登出操作:

public class ShiroCasLogoutHandler<C extends WebContext> extends DefaultCasLogoutHandler<C> {

    public ShiroCasLogoutHandler() {
    }

    public ShiroCasLogoutHandler(final Store store) {
        super(store);
    }

    protected void destroy(final C context, final SessionStore sessionStore, final String channel) {
        // remove profiles
        final ShiroProfileManager manager = new ShiroProfileManager(context);
        manager.logout();//shiro登出操作
        logger.debug("destroy the user profiles");
        // and optionally the web session
        if (isDestroySession()) {
            logger.debug("destroy the whole session");
            final boolean invalidated = sessionStore.destroySession(context);
            if (!invalidated) {
                logger.error("The session has not been invalidated for {} channel logout", channel);
            }
        }
    }
}

七、MyShiroSessionStore类和MyShiroProvidedSessionStore类
1、SessionStore是用于暂时缓存session以供后续的操作,MyShiroSessionStore类重写了ShiroSessionStore,因为pac4j本身的ShiroSessionStore不能满足单点登出,会有问题,所以改写了该类:

public class MyShiroSessionStore implements SessionStore<J2EContext> {


    private final static Logger logger = LoggerFactory.getLogger(MyShiroSessionStore.class);

    //获取shiro session
    protected Session getSession(final boolean createSession) {
        return SecurityUtils.getSubject().getSession(createSession);
    }

    //获取shiro的sessionid
    @Override
    public String getOrCreateSessionId(final J2EContext context) {
        final Session session = getSession(false);
        if (session != null) {
            return session.getId().toString();
        }
        return null;
    }

    /**
     * 获取shiro session中的属性
     */
    @Override
    public Object get(final J2EContext context, final String key) {
        final Session session = getSession(false);
        if (session != null) {
            return session.getAttribute(key);
        }
        return null;
    }

    /**
     * 设置session属性
     */
    @Override
    public void set(final J2EContext context, final String key, final Object value) {
        final Session session = getSession(true);
        if (session != null) {
            try {
                session.setAttribute(key, value);
            } catch (final UnavailableSecurityManagerException e) {
                logger.warn("Should happen just once at startup in some specific case of Shiro Spring configuration", e);
            }
        }
    }

    /**
     * 销毁session
     */
    @Override
    public boolean destroySession(final J2EContext context) {
        getSession(true).stop();
        return true;
    }

    /**
     * 获取shiro session并缓存用于单点登出
     */
    @Override
    public Object getTrackableSession(final J2EContext context) {
        return getSession(true);
    }

    /**
     * 从getTrackableSession中获取的session来构建SessionStore
     */
    @Override
    public SessionStore buildFromTrackableSession(final J2EContext context, final Object trackableSession) {
        if(trackableSession != null) {
            return new MyShiroProvidedSessionStore((Session) trackableSession);
        }
        return null;
    }

    /**
     * 刷新session属性,这里暂返回false,实际应用中需实现
     */
    @Override
    public boolean renewSession(final J2EContext context) {
        return false;
    }
}

2、MyShiroProvidedSessionStore是由MyShiroSessionStore构建来临时存储TrackableSession的:

public class MyShiroProvidedSessionStore extends MyShiroSessionStore{

    /**存储的TrackableSession,往后要操作时用这个session操作*/
    private Session session;
    public MyShiroProvidedSessionStore(Session session) {
        this.session = session;
    }   
    protected Session getSession(final boolean createSession) {
        return session;
    }

}

八、Controller
这是个控制器,负责请求处理

public class Controller {

    @RequestMapping(value="/index",method=RequestMethod.GET) 
    public String index(ModelMap map) {

        //获取用户身份
        Pac4jPrincipal p = SecurityUtils.getSubject().getPrincipals().oneByType(Pac4jPrincipal.class);

        if(p != null) {
            CommonProfile profile = p.getProfile();
            map.put("profile", profile);
        }

        return "index";
    }

}

九、index.jsp
这里是个简单的jsp页面,上面将会打印出用户的信息

<%@ page language="java" contentType="text/html; charset=ISO-8859-1"
    pageEncoding="ISO-8859-1"%>

<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>Hello pac4j1!title>
head>
<body>


hello~~~ <b>I'm pac4jtest1b>

profile:${profile}

body>
html>

十、web.xml
主要配置了springmvc和shiroFilter

<context-param>
       <param-name>contextConfigLocationparam-name>
       <param-value>classpath*:spring-comm.xmlparam-value>

    context-param>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListenerlistener-class>
    listener>

    <listener>
        <listener-class>org.springframework.web.util.IntrospectorCleanupListenerlistener-class>
    listener>


    <filter>
       <filter-name>shiroFilterfilter-name>
       <filter-class>org.springframework.web.filter.DelegatingFilterProxyfilter-class>
        <init-param>
            <param-name>targetFilterLifecycleparam-name>
            <param-value>trueparam-value>
        init-param>
    filter>

    <filter-mapping>
       <filter-name>shiroFilterfilter-name>
       <url-pattern>/*url-pattern>
    filter-mapping>

    <servlet>
        <servlet-name>springDispatcherservlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServletservlet-class>
        <init-param>
            <param-name>contextConfigLocationparam-name>
            <param-value>classpath:spring-mvc.xmlparam-value>
        init-param>
        <load-on-startup>1load-on-startup>
    servlet>
    <servlet-mapping>
        <servlet-name>springDispatcherservlet-name>
        <url-pattern>/url-pattern>
    servlet-mapping>

十一、运行
CAS服务的项目在这里就不贴出来了,因为改变不大,就是注意要在CAS服务里注册Cas Client,也就是上面的项目,否则CAS服务会报错。

为了认证单点登录,要再弄一个Cas Client,所以把上面的项目pac4jtest1复制一份命名为pac4jtest2,记得把里面对应的配置要改过来。

部署CAS Server、pac4jtest1、pac4jtest2三个项目并启动tomcat。根据以下步骤进行测试:

1、在地址栏输入:
这里写图片描述

2、会看到去到了登录页,地址栏也发生了改变:

pac4j探索(二): buji-pac4j+Cas+Shiro+SpringMvc实现单点登录_第2张图片

3、输入用户名密码登录,去到了pac4jtest1的index:

这里写图片描述

4、此时在地址栏输入 http://localhost:8080/pac4jtest2/index,按道理如果是还没认证,会跳转到第一步中的登录页面;但是我们已经在第三步已经登录认证通过了,所以无须再进行登录,直接进入pac4jtest2的index
这里写图片描述

5、单点登出,地址栏输入 http://localhost:8080/pac4jtest2/logout,会退出到登录界面:

pac4j探索(二): buji-pac4j+Cas+Shiro+SpringMvc实现单点登录_第3张图片

6、此时再输入 http://localhost:8080/pac4jtest1/index 访问pac4jtest1,则发现还是重定向回第二步的登录页。

至此,一个简单的整合pac4j+CAS+shiro+springmvc的单点登录完成

十二、后记
这是pac4j最迷你版的单点登录,实际应用中比这个复杂很多,其实主要的部分弄清楚了,扩展也就很容易了。本人才疏学浅,项目中存在一些不足,欢迎大家批评指出!
源代码位置:pac4jtest1

你可能感兴趣的:(shiro,pac4j,单点登录)

  • SpringSecurity初学总结 weixin_66442229 spring
    springSecurity安全框架基于Java的安全框架主要有:SpringSecurity和Shiro介绍基础概念安全框架是对用户访问权限的控制,保证应用的安全性。其主要的工作是用户认证和用户授权|鉴权主要应用于Spring的企业应用系统,提供声明式的安全访问控制解决方案。它提供了一组可以在Spring应用上下文中配置的Bean能很好的结合Spring的DI依赖注入和AOP面向切面编程功能应用
  • 关于项目中使用shiro进行安全管理的总结 一颗大青柠 JavaShirojavaspring
    关于项目中使用shiro进行安全管理的总结关于SpringBoot下使用shiro进行用户认证与权限管理对于安全框架有一定了解的开发者一定对于shiro这款安全框架有一定的了解,这里我们不再对该框架进行其设计与知识的介绍,仅对于我的个人项目中所使用到的进行一个总结,并放上代码。使用该框架的第一步,进行配置:packagecom.libvirtjava.demo.vm.util.config;imp
  • Apache Shiro安全框架(2)-用户认证 heyrian Javashiro
    身份认证在shiro中用户需要提供用户的principals(身份)和credentials(证明)来证明该用户属于当前系统用户。常见的认证方式即用户名/密码。在解释身份认证之前,我们先来看看shiro中的Subject和Realm,这是身份认证的两个关键的概念。Subjectsubject代表当前用户,内部主要维护当前用户信息。shiro中所有的subject都交给SecurityManager
  • Spring Cloud云架构 - SSO单点登录之OAuth2.0 根据token获取用户信息(4) 初夏_91fb
    上一篇我根据框架中OAuth2.0的使用总结,画了SSO单点登录之OAuth2.0登出流程,今天我们看一下根据用户token获取yoghurt信息的流程:image/***根据token获取用户信息*@paramaccessToken*@return*@throwsException*/@RequestMapping(value="/user/token/{accesstoken}",method
  • 毕设/私活/bigold必备项目,一个挣钱的免费的全开源标准前后端分离后台管理权限系统【springboot+vue+redis+Spring Security】脚手架搭建:若依Ruo框架具体使用教程 南北极之间 前端开发springbootvuespringboot+vue免费后台管理系统毕业私活后台权限系统
    【建议收藏】毕设/私活/大佬必备,一个挣钱的标准开源前后端分离【springboot+vue+redis+SpringSecurity】脚手架一个免费的开源后台管理系统:若依框架(具体使用教程:具体怎样下载?怎样使用?怎样配置后台接口地址?超详细)简介RuoYi是一个JavaEE企业级快速开发平台,基于经典技术组合(SpringBoot、ApacheShiro、MyBatis、Thymeleaf、
  • 解锁Apache Shiro:新手友好的安全框架指南(一)——整体架构与身份认证_apache shiro的配置包括安全管理器(2) 2401_84281748 程序员apache安全架构
    ApacheShiro是一个功能强大且易于使用的Java安全框架,它执行身份验证、授权、加密和会话管理,可用于保护任何应用程序——从命令行应用程序、移动应用程序到最大的web和企业应用程序。Shiro提供了应用程序安全API来执行以下方面:Authentication(认证):验证用户身份,即用户登录。Authorization(授权):访问控制Cryptography(密码学):保护或隐藏私密数
  • 这可能是全网最详细的 Spring Cloud OAuth2 单点登录使用教程了,妈妈再也不用担心我被面试官吊打了! 2401_84558091 程序员java面试学习
    最后对于很多Java工程师而言,想要提升技能,往往是自己摸索成长,不成体系的学习效果低效漫长且无助。整理的这些资料希望对Java开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。再分享一波我的Java面试真题+视频学习详解+技能进阶书籍本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收
  • springmvc用配置类替换xml配置 码里法 其他javamvcspring
    ssm基础项目整合前言xml配置mybatis.xmlspingmvc.xmlweb.xml配置类jdbc配置类mybatis配置SpringConfig配置SpringMvcConfig配置shiro配置WebInit前言其实这中间用配置类,发现问题还挺多的,所以记录一下,尤其是针对shiro的配置。xml配置mybatis.xmlArchetypeCreatedWebApplicationdi
  • 单点登录和统一身份认证的区别 吗喽一只 github
    在工作过程中,总被问到单点登录和统一身份认证的问题。笔者打算尝试用更通俗的方式解释统一身份认证(UnifiedIdentityAuthentication)和单点登录(SingleSign-On,简称SSO)之间的区别。1.定义:(1)单点登录是一种认证技术,它允许用户使用一个用户ID和密码访问不同的应用程序。在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。(2)统一身份认证
  • 低代码平台中的统一认证与单点登录(SSO):实现简化与安全的用户管理 BPM_宏天低代码 低代码安全
    引言在现代应用开发中,用户管理是一个关键环节。随着应用数量的增加,传统的用户认证和管理方式逐渐显得繁琐且不够高效。低代码平台的出现为解决这一问题提供了新的思路。本文将探讨低代码平台中如何实现统一认证与单点登录(SSO),以及这些技术如何简化用户管理并提高安全性。低代码平台概述低代码平台是一种允许用户通过图形化界面而非编写大量代码来构建应用程序的工具。这种平台的优势在于能够大幅度缩短开发周期、降低开
  • (shiro加密)2019-03-27 _麻辣香锅不要辣
    参考:spring-shiro的密码加密配置凭证匹配器@BeanpublicHashedCredentialsMatcherhashedCredentialsMatcher(){HashedCredentialsMatcherhashedCredentialsMatcher=newHashedCredentialsMatcher();hashedCredentialsMatcher.setHash
  • shiro 采用redis共享session,出现反序列化错误的排查过程 nightseventhunit redisjava数据库
    这是一个老系统改造的过程,该老系统采用的框架是#jfinal#shiroredis,采用outh2协议的方式,对多个子系统之间进行单点登录,以实现系统之间的session,由于速度方面的影响,现在要改造成多个系统之间共享session,并采用redis集群的方式。说明一下当前项目的整体运行环境,此项目的多个子系统都在同一个域名下,通过上下文不同来区分子系统。以下将记录整个改造过程,采用jfinal
  • 【DevOps工具篇】使用Ansible部署Keycloak oauth2proxy 和 单点登录(SSO)设置 小涵 DevOps企业级项目实战devopsansible运维ldapkeycloakproxyoauth
    【DevOps工具篇】使用Ansible部署Keycloakoauth2proxy和单点登录(SSO)设置目录【DevOps工具篇】使用Ansible部署Keycloakoauth2proxy和单点登录(SSO)设置Ansible基础知识部署Keycloak创建OIDC-客户端创建oauth2proxy部署顶级AnsiblePlaybookHost.iniplaybook.yaml推荐超级课程:D
  • springboot+shiro前后端分离过程中跨域问题、sessionId问题、302鉴权失败问题 DN金猿 springboot后端javashiro前后端分离
    近期项目需要前后端分离,由于前后端分离后原来的适用的shiro配置无法满足现有系统要求。同时在前后端项目分离的项目中存在的跨域问题,cookies不再使用,通过token方式实现用户登陆鉴权。下面记录在整个过程中涉及的几个大问题:1、跨域问题2、sessionId问题3、302鉴权问题1、springboot跨域问题解决packagenet.sinorock.aj.common.config;im
  • Shiro实现登录认证以及整合到Springboot3 LIPAH web安全springboot
    一、概念介绍ApacheShiro是一个强大灵活的开源安全框架,提供授权、会话管理以及密码加密等功能。与SpringSecurity对比劣势:SpringSecurity基于Spring开发,项目若使用Spring作为基础,配合SpringSecurity做权限更加方便,而Shiro需要和Spring进行整合开发SpringSecurity功能比Shiro更加丰富些,例如安全维护方面SpringS
  • springboot整合shiro安全框架 heromps Springboot安全apache
    shiro快速开始1.导入依赖org.apache.shiroshiro-core1.8.0org.slf4jjcl-over-slf4j1.7.21org.slf4jslf4j-log4j121.7.21log4jlog4j1.2.17org.apache.shiroshiro-core1.8.02.配置文件shiro.ini[users]#user'root'withpassword'secr
  • mac解决mysql 1055问题 nitricoxide
    首遇报错mac本地安装的mysql执行带groupby的语句时,出现了如下报错1055-Expression#1ofSELECTlistisnotinGROUPBYclauseandcontainsnonaggregatedcolumn'yyhd_shiro.ar.roleName'whichisnotfunctionallydependentoncolumnsinGROUPBYclause;th
  • Spring Boot + Mybatis + Shiro 后台权限管理系统 chuxia_vlog
    平台简介一直想做一款后台管理系统,看了很多优秀的开源项目但是发现没有合适的。于是利用空闲休息时间开始自己写了一套后台系统。如此有了若依。她可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA。所有前端后台代码封装过后十分精简易上手,出错概率低。同时支持移动客户端访问。系统会陆续更新一些实用功能。性别男,若依是给还没有出生女儿取的名字(寓意:你若不离不弃,我必生死相依)若
  • 基于Spring的单点登录SSO实现(redis+JWT+SpringSecurity) 星月梦瑾 javaspringredis
    本文介绍了基于Spring的单点登录SSO实现(redis+JWT+SpringSecurity)方法。一、应用场景平台包含多个系统应用的,实现只要在一个应用登录一次,就可以访问其他相互信任的应用。常用于多应用平台中,此时常常建立门户网站系统,进行单点登录。二、实现思路单点登录可基于cookie、session、token等方式。本文主要基于token和redis实现。登录信息及token通常存储
  • 00后会自动化就想拿20K?不,你还差点远呢··· v_648374 自动化运维
    等你搭建好公司的自动化生态,你还是不满足,我为什么不把这些东西可视化管理呢?做个平台?管理用例,管理任务,管理测试报告?我还可以把公司的一些部署任务也集成过来?想法很好!此时的你已经不仅仅是一名优秀的自动化工程师了,已经迈向了测试开发的道路!开始学习,了解了测试框架httprunner,开发框架django/flask/springboot,懂得了接口开发的流程,了解了mybatis,shiro,
  • Spring Security与Apache Shiro:Java安全框架的比较 Lill_bin javajavaspringapache分布式安全后端开发语言
    引言在Java企业级应用开发中,安全性是一个不可忽视的重要方面。随着Web应用的复杂性日益增加,选择合适的安全框架对于保护应用免受未授权访问和其他安全威胁至关重要。SpringSecurity和ApacheShiro是两个广泛使用的Java安全框架,它们提供了认证(Authentication)和授权(Authorization)的功能。本文将对这两个框架进行比较,探讨它们的设计理念、核心特性以及
  • 医院数据防泄露保护系统解决方案 努力工作的网安人 等级保护经验分享安全网络其他系统安全
    医院数据防泄露保护系统解决方案目录1.医院需求分析2.解决方案综述2.1.产品部署示意图3.产品优势功能3.1.数据库审计与风险控制系统3.1.1.事前安全风险评估3.1.2.实时统方行为监控3.1.3.双向审计让统方更准确3.1.4.旁路部署对数据库服务器无任何影响3.2.运维审计与风险控制系统3.2.1.运维会话全面审计3.2.2.运维风险控制3.2.3.加密协议实时监控3.2.4.单点登录简
  • 医院数据防泄露保护系统解决方案(参考) 努力工作的网安人 网络安全安全网络安全经验分享
    医院数据防泄露保护系统解决方案目录1.医院需求分析2.解决方案综述3.产品优势功能3.1数据库审计与风险控制系统3.1.1事前安全风险评估3.1.2实时统方行为监控3.1.3双向审计让统方更准确3.1.4旁路部署对数据库服务器无任何影响3.2运维审计与风险控制系统3.2.2运维风险控制3.2.3加密协议实时监控3.2.4单点登录简化管理员工作3.3入网规范管理系统3.3.1部署迅速的ArpAcce
  • Spring Boot 与 Spring Security 的集成及 OAuth2 实现 2的n次方_ springspringbootjava
    我的主页:2的n次方_在现代Web应用开发中,安全性是至关重要的。无论是保护用户的敏感数据,还是确保API只允许经过授权的请求访问,开发者都需要一个强大且灵活的安全框架来实现这些需求。SpringSecurity作为Spring框架的安全模块,能够为应用提供全面的安全保护。而OAuth2作为一种授权协议,广泛应用于单点登录(SSO)、社交登录、API保护等场景。本文将详细介绍如何在SpringBo
  • 【Apache】漏洞 B1ackMa9ic apache网络安全web安全网络攻击模型
    文章目录Apache漏洞1.ApacheHTTPD多后缀解析漏洞2.ApacheSSI远程命令执行漏洞3.ApacheHTTP路径穿越漏洞4.ApacheHTTPSSRF漏洞5.Apachelog4j26.ApacheshiroApache漏洞1.ApacheHTTPD多后缀解析漏洞主要利用方式:文件类型欺骗:构造example.php.jpg的文件(只要一个文件含有.php后缀的文件即将被识别成
  • 前端登陆方式,这一篇就够了 爱吃果蔬的猫 前端
    目录1、基于会话(Session)的认证1.1实现流程1.2优缺点1.3应用场景2、基于Token的认证(如JWT,JSONWebTokens)2.1实现流程2.2优缺点2.3应用场景3、OAuth/OpenID3.1实现流程3.2优缺点3.3应用场景4、单点登录(SSO,SingleSign-On)4.1实现流程4.2优缺点4.3应用场景5、多因素认证(MFA,Multi-FactorAuthe
  • 请简单介绍一下Shiro框架是什么?Shiro在Java安全领域的主要作用是什么?Shiro主要提供了哪些安全功能? AaronWang94 shirojavajava安全开发语言
    请简单介绍一下Shiro框架是什么?Shiro框架是一个强大且灵活的开源安全框架,为Java应用程序提供了全面的安全解决方案。它主要用于身份验证、授权、加密和会话管理等功能,可以轻松地集成到任何JavaWeb应用程序中,并提供了易于理解和使用的API,使开发人员能够快速实现安全特性。Shiro的核心组件包括Subject、SecurityManager和Realms。Subject代表了当前与应用
  • Redis 的数据类型及使用场景 程序员JavaWind redis数据库缓存
    String最常规的set/get操作,Value可以是String也可以是数字。一般做一些复杂的计数功能的缓存。Hash这里Value存放的是结构化的对象,比较方便的就是操作其中的某个字段。我在做单点登录的时候,就是用这种数据结构存储用户信息,以CookieId作为Key,设置30分钟为缓存过期时间,能很好的模拟出类似Session的效果。List使用List的数据结构,可以做简单的消息队列的功
  • vue实现关闭浏览器退出登录功能(区别关闭和刷新) 一个巨蟹座的前端 vue的便捷操作vuejsvue.js前端javascript
    项目场景:在实现单点登录时,发现关闭浏览器后,并不会自动退出登录解决方案:在app.vue中书写如下代码 data(){  return{   gap_time:0,   beforeUnload_time:0,  }; }, methods:{  //关闭窗口之前执行  beforeunloadHandler(){   this.beforeUnload_time=newDate().getTi
  • 整合spring cloud云架构 - SSO单点登录之OAuth2.0 根据token获取用户信息(4) 初夏_91fb
    上一篇我根据框架中OAuth2.0的使用总结,画了SSO单点登录之OAuth2.0登出流程,今天我们看一下根据用户token获取yoghurt信息的流程:image/***根据token获取用户信息*@paramaccessToken*@return*@throwsException*/@RequestMapping(value="/user/token/{accesstoken}",method
  • Enum用法 不懂事的小屁孩 enum
    以前的时候知道enum,但是真心不怎么用,在实际开发中,经常会用到以下代码: protected final static String XJ = "XJ"; protected final static String YHK = "YHK"; protected final static String PQ = "PQ";
  • 【Spark九十七】RDD API之aggregateByKey bit1129 spark
    1. aggregateByKey的运行机制   /** * Aggregate the values of each key, using given combine functions and a neutral "zero value". * This function can return a different result type
  • hive创建表是报错: Specified key was too long; max key length is 767 bytes daizj hive
    今天在hive客户端创建表时报错,具体操作如下   hive> create table test2(id string); FAILED: Execution Error, return code 1 from org.apache.hadoop.hive.ql.exec.DDLTask. MetaException(message:javax.jdo.JDODataSto
  • Map 与 JavaBean之间的转换 周凡杨 java自省转换反射
    最近项目里需要一个工具类,它的功能是传入一个Map后可以返回一个JavaBean对象。很喜欢写这样的Java服务,首先我想到的是要通过Java 的反射去实现匿名类的方法调用,这样才可以把Map里的值set 到JavaBean里。其实这里用Java的自省会更方便,下面两个方法就是一个通过反射,一个通过自省来实现本功能。 1:JavaBean类 1 &nb
  • java连接ftp下载 g21121 java
    有的时候需要用到java连接ftp服务器下载,上传一些操作,下面写了一个小例子。 /** ftp服务器地址 */ private String ftpHost; /** ftp服务器用户名 */ private String ftpName; /** ftp服务器密码 */ private String ftpPass; /** ftp根目录 */ private String f
  • web报表工具FineReport使用中遇到的常见报错及解决办法(二) 老A不折腾 finereportweb报表java报表总结
      抛砖引玉,希望大家能把自己整理的问题及解决方法晾出来,Mark一下,利人利己。   出现问题先搜一下文档上有没有,再看看度娘有没有,再看看论坛有没有。有报错要看日志。下面简单罗列下常见的问题,大多文档上都有提到的。   1、没有返回数据集: 在存储过程中的操作语句之前加上set nocount on 或者在数据集exec调用存储过程的前面加上这句。当S
  • linux 系统cpu 内存等信息查看 墙头上一根草 cpu内存liunx
    1 查看CPU   1.1 查看CPU个数   # cat /proc/cpuinfo | grep "physical id" | uniq | wc -l   2   **uniq命令:删除重复行;wc –l命令:统计行数**   1.2 查看CPU核数   # cat /proc/cpuinfo | grep "cpu cores" | u
  • Spring中的AOP aijuans springAOP
      Spring中的AOP Written by Tony Jiang @ 2012-1-18 (转)何为AOP AOP,面向切面编程。 在不改动代码的前提下,灵活的在现有代码的执行顺序前后,添加进新规机能。 来一个简单的Sample: 目标类: [java]  view plain copy print ? package&nb
  • placeholder(HTML 5) IE 兼容插件 alxw4616 JavaScriptjquery jQuery插件
    placeholder 这个属性被越来越频繁的使用. 但为做HTML 5 特性IE没能实现这东西. 以下的jQuery插件就是用来在IE上实现该属性的. /** * [placeholder(HTML 5) IE 实现.IE9以下通过测试.] * v 1.0 by oTwo 2014年7月31日 11:45:29 */ $.fn.placeholder = function
  • Object类,值域,泛型等总结(适合有基础的人看) 百合不是茶 泛型的继承和通配符变量的值域Object类转换
    java的作用域在编程的时候经常会遇到,而我经常会搞不清楚这个 问题,所以在家的这几天回忆一下过去不知道的每个小知识点   变量的值域;   package 基础; /** * 作用域的范围 * * @author Administrator * */ public class zuoyongyu { public static vo
  • JDK1.5 Condition接口 bijian1013 javathreadConditionjava多线程
    Condition 将 Object 监视器方法(wait、notify和 notifyAll)分解成截然不同的对象,以便通过将这些对象与任意 Lock 实现组合使用,为每个对象提供多个等待 set (wait-set)。其中,Lock 替代了 synchronized 方法和语句的使用,Condition 替代了 Object 监视器方法的使用。 条件(也称为条件队列或条件变量)为线程提供了一
  • 开源中国OSC源创会记录 bijian1013 hadoopsparkMemSQL
    一.Strata+Hadoop World(SHW)大会         是全世界最大的大数据大会之一。SHW大会为各种技术提供了深度交流的机会,还会看到最领先的大数据技术、最广泛的应用场景、最有趣的用例教学以及最全面的大数据行业和趋势探讨。          二.Hadoop   &nbs
  • 【Java范型七】范型消除 bit1129 java
    范型是Java1.5引入的语言特性,它是编译时的一个语法现象,也就是说,对于一个类,不管是范型类还是非范型类,编译得到的字节码是一样的,差别仅在于通过范型这种语法来进行编译时的类型检查,在运行时是没有范型或者类型参数这个说法的。 范型跟反射刚好相反,反射是一种运行时行为,所以编译时不能访问的变量或者方法(比如private),在运行时通过反射是可以访问的,也就是说,可见性也是一种编译时的行为,在
  • 【Spark九十四】spark-sql工具的使用 bit1129 spark
    spark-sql是Spark bin目录下的一个可执行脚本,它的目的是通过这个脚本执行Hive的命令,即原来通过 hive>输入的指令可以通过spark-sql>输入的指令来完成。 spark-sql可以使用内置的Hive metadata-store,也可以使用已经独立安装的Hive的metadata store   关于Hive build into Spark
  • js做的各种倒计时 ronin47 js 倒计时
    第一种:精确到秒的javascript倒计时代码      HTML代码:   <form name="form1">   <div align="center" align="middle"
  • java-37.有n 个长为m+1 的字符串,如果某个字符串的最后m 个字符与某个字符串的前m 个字符匹配,则两个字符串可以联接 bylijinnan java
    public class MaxCatenate { /* * Q.37 有n 个长为m+1 的字符串,如果某个字符串的最后m 个字符与某个字符串的前m 个字符匹配,则两个字符串可以联接, * 问这n 个字符串最多可以连成一个多长的字符串,如果出现循环,则返回错误。 */ public static void main(String[] args){
  • mongoDB安装 开窍的石头 mongodb安装 基本操作
    mongoDB的安装          1:mongoDB下载   https://www.mongodb.org/downloads         2:下载mongoDB下载后解压     
  • [开源项目]引擎的关键意义 comsci 开源项目
         一个系统,最核心的东西就是引擎。。。。。       而要设计和制造出引擎,最关键的是要坚持。。。。。。       现在最先进的引擎技术,也是从莱特兄弟那里出现的,但是中间一直没有断过研发的    
  • 软件度量的一些方法 cuiyadll 方法
    软件度量的一些方法http://cuiyingfeng.blog.51cto.com/43841/6775/在前面我们已介绍了组成软件度量的几个方面。在这里我们将先给出关于这几个方面的一个纲要介绍。在后面我们还会作进一步具体的阐述。当我们不从高层次的概念级来看软件度量及其目标的时候,我们很容易把这些活动看成是不同而且毫不相干的。我们现在希望表明他们是怎样恰如其分地嵌入我们的框架的。也就是我们度量的
  • XSD中的targetNameSpace解释 darrenzhu xmlnamespacexsdtargetnamespace
    参考链接: http://blog.csdn.net/colin1014/article/details/357694 xsd文件中定义了一个targetNameSpace后,其内部定义的元素,属性,类型等都属于该targetNameSpace,其自身或外部xsd文件使用这些元素,属性等都必须从定义的targetNameSpace中找: 例如:以下xsd文件,就出现了该错误,即便是在一
  • 什么是RAID0、RAID1、RAID0+1、RAID5,等磁盘阵列模式? dcj3sjt126com raid
    RAID 1又称为Mirror或Mirroring,它的宗旨是最大限度的保证用户数据的可用性和可修复性。 RAID 1的操作方式是把用户写入硬盘的数据百分之百地自动复制到另外一个硬盘上。由于对存储的数据进行百分之百的备份,在所有RAID级别中,RAID 1提供最高的数据安全保障。同样,由于数据的百分之百备份,备份数据占了总存储空间的一半,因而,Mirror的磁盘空间利用率低,存储成本高。 Mir
  • yii2 restful web服务快速入门 dcj3sjt126com PHPyii2
    快速入门 Yii 提供了一整套用来简化实现 RESTful 风格的 Web Service 服务的 API。 特别是,Yii 支持以下关于 RESTful 风格的 API: 支持 Active Record 类的通用API的快速原型 涉及的响应格式(在默认情况下支持 JSON 和 XML) 支持可选输出字段的定制对象序列化 适当的格式的数据采集和验证错误
  • MongoDB查询(3)——内嵌文档查询(七) eksliang MongoDB查询内嵌文档MongoDB查询内嵌数组
    MongoDB查询内嵌文档 转载请出自出处:http://eksliang.iteye.com/blog/2177301 一、概述        有两种方法可以查询内嵌文档:查询整个文档;针对键值对进行查询。这两种方式是不同的,下面我通过例子进行分别说明。   二、查询整个文档 例如:有如下文档 db.emp.insert({ &qu
  • android4.4从系统图库无法加载图片的问题 gundumw100 android
    典型的使用场景就是要设置一个头像,头像需要从系统图库或者拍照获得,在android4.4之前,我用的代码没问题,但是今天使用android4.4的时候突然发现不灵了。baidu了一圈,终于解决了。 下面是解决方案: private String[] items = new String[] { "图库","拍照" }; /* 头像名称 */
  • 网页特效大全 jQuery等 ini JavaScriptjquerycsshtml5ini
    HTML5和CSS3知识和特效 asp.net ajax jquery实例 分享一个下雪的特效 jQuery倾斜的动画导航菜单 选美大赛示例 你会选谁 jQuery实现HTML5时钟 功能强大的滚动播放插件JQ-Slide 万圣节快乐!!! 向上弹出菜单jQuery插件 htm5视差动画 jquery将列表倒转顺序 推荐一个jQuery分页插件 jquery animate
  • swift objc_setAssociatedObject block(version1.2 xcode6.4) 啸笑天 version
      import UIKit class LSObjectWrapper: NSObject { let value: ((barButton: UIButton?) -> Void)? init(value: (barButton: UIButton?) -> Void) { self.value = value
  • Aegis 默认的 Xfire 绑定方式,将 XML 映射为 POJO MagicMa_007 javaPOJOxmlAegisxfire
          Aegis 是一个默认的 Xfire 绑定方式,它将 XML 映射为 POJO, 支持代码先行的开发.你开发服 务类与 POJO,它为你生成 XML schema/wsdl XML 和 注解映射概览       默认情况下,你的 POJO 类被是基于他们的名字与命名空间被序列化。如果
  • js get max value in (json) Array qiaolevip 每天进步一点点学习永无止境max纵观千象
    // Max value in Array var arr = [1,2,3,5,3,2];Math.max.apply(null, arr); // 5 // Max value in Jaon Array var arr = [{"x":"8/11/2009","y":0.026572007},{"x"
  • XMLhttpRequest 请求 XML,JSON ,POJO 数据 Luob. POJOjsonAjaxxmlXMLhttpREquest
    在使用XMlhttpRequest对象发送请求和响应之前,必须首先使用javaScript对象创建一个XMLHttpRquest对象。 var xmlhttp; function getXMLHttpRequest(){ if(window.ActiveXObject){ xmlhttp:new ActiveXObject("Microsoft.XMLHTTP
  • jquery wuai jquery
    以下防止文档在完全加载之前运行Jquery代码,否则会出现试图隐藏一个不存在的元素、获得未完全加载的图像的大小 等等 $(document).ready(function(){ jquery代码; }); <script type="text/javascript" src="c:/scripts/jquery-1.4.2.min.js&quo
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他