pac4j探索(一)之buji-pac4j

最新推荐文章于 2025-11-14 04:12:28 发布
原创 最新推荐文章于 2025-11-14 04:12:28 发布 · 1w 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了buji-pac4j作为Shiro-CAS的替代方案,它是一个基于Java 8、Shiro 1.4和pac4j的安全库,提供认证、授权和CSRF保护。buji-pac4j支持多种认证协议,如CAS、OAuth、SAML等。文章阐述了client、authorizer和SecurityFilter等核心概念,以及它们在认证流程中的作用,帮助读者理解buji-pac4j的主要工作原理和流程。

一、初步认识buji-pac4j

公司单点登录cas客户端用的是shiro的shiro-cas模块,但从源码看来,shiro不建议再使用shiro-cas,也就是说shiro-cas模块的相关都被shiro标注为@Deprecated,并推荐使用的代替方案是buji-pac4jhttps://github.com/bujiio/buji-pac4j)。

那么什么是buji-pac4j呢?原文档如是说:

The buji-pac4j project is an easy and powerful security library for Shiro web applications which supports authentication and authorization, but also advanced features like CSRF protection. It’s based on Java 8, Shiro 1.4 and on the pac4j security engine v2. It’s available under the Apache 2 license.

简单来说,buji-pac4j是基于java8shiropac4j 2.x安全引擎的提供了认证、授权和跨站点伪造请求防范的功能强大的安全库。

二、几个重要的概念和组件
1、client:一个client代表了一个认证机制,在其上面进行登录认证流程并返回用户的信息,分为两种:
a.间接客户端(Indirect Client) : 通过登录认证界面进行登录的客户端,例如CAS;
b.直接客户端(Direct Client):web 服务认证。可以理解为跟间接客户端相反的一种情况,就是涉及到的交互不需要用户参与的,也就是一些对用户来说是透明的交互。例如微信登录、facebook登录等。
c.buji-pac4j支持以下协议:
OAuth - SAML - CAS - OpenID Connect - HTTP - OpenID - Google App Engine - Kerberos (SPNEGO)

2、authorizer :鉴权认证器。也就是对当前认证通过后的用户进行授权认证,如果当前操作人没有经过登录认证的话authorizer 也派不上用场,因为认证都通过不了,谈何授权?

3、SecurityFilter:安全过滤器。当请求一个受保护的url时,安全过滤器会根据clients和authorizer判断当前用户是否已经认证通过并且校验是否有权限访问此url。如果没有经过认证的用户,此过滤器会帮用户执行认证操作(Direct Client的情况下),或者呈现登录界面给用户登录(Indirect Client的情况下)。而且这个过滤器默认还提供了跨域访问控制、防御XSS攻击等功能,只要配置一下即可实现简单的权限控制。

4、CallbackFilter:完成登录认证的回调过滤器。例如CAS的ST校验就是这里完成。

三、主要流程
1、组件间的联系
几个组件之间关系如下图:
组件关系图
如图,SecurityFilter关联了鉴权器Authorizer,SecurityFilter和CallbackFilter跟Client是组合关系,也就是这两个过滤器一定要包含至少一个client(例如CasClient),Filter会根据不同的client实现不同的认证逻辑。需要注意的是,图中组件的关系在实际中是比较复杂的,上图是简化版的关系图。

2、组件间的协作
a、当用户请求一个受保护的链接(protectedUrl),经过SecurityFilter会判断当前用户是否已经认证,如果已经认证并且鉴权成功,则向用户展示protectedUrl;否则通过Client(如CasClient)向CAS发起认证请求,并展示登录页面给用户登录。
b、用户输入用户名密码提交到CasServer,认证成功后CasServer会发ST到CallbackFilter进行校验,校验成功后重定向到protectedUrl。
c、当重定向protectedUrl时,此时已经拿到了用户的信息,接下来就需要Authorizer进行鉴权,授权成功后,向用户展示受保护的资源。
下图是简化了的认证流程:
这里写图片描述
注:图中省略了Cas认证的复杂过程

四、替换Shiro-Cas
1、shiro-cas 和 buji-pac4j的实现方式非常相似,后者要用到两个库:buji-pac4j和pac4j-cas。
2、原来的CasFilter被替换成CallbackFilter ,两者功能上是几乎是一样的,都是实现身份认证的回调,但CallbackFilter不只是针对CAS,可以灵活的实现其他不同的client回调。
3、CasRealm被替换成Pac4jRealm,CasSubjectFactory被替换成Pac4jsubjectFactory。
4、最后,当一个url需要被保护时(需要经过认证、鉴权),不仅需要使用shiro默认的过滤器,而且必须使用SecurityFilter。
关于buji-pac4j具体怎么使用,在后面的文章中会详细介绍(请戳这里)。这里只对其进行简单描述,有了个宏观的认识,细节的处理会简单很多。

若发现本文有不当之处,请高手们批评指出,谢谢!

pac4j探索(二): buji-pac4j+Cas+Shiro+SpringMvc实现单点登录
hxm_Code的专栏
02-01 1万+
pac4j探索的上篇文章大致讲述了buji-pac4j+CAS的认证流程。这里记录下本人实现的最简单的单点登录,仅作为笔记、学习交流之用,戳这里获取本文源码。、项目框架 1、 buji-pac4j(v.3.0.0) 2、shiro (v.1.4.0) 3、springmvc (v.4.3.2) 4、CAS (v.4.2.6) 5
clientone:springboot shiro CAS buji-pac4j 整合客户端,通过访问CAS server实现单点登录(Single Sign On)
05-14
springboot shiro CAS buji-pac4j 整合客户端,通过访问CAS server实现单点登录(Single Sign On) 复制此客户端后发布(clienttwo),通过CAS认证后可以相互访问不用再次登录. CAS server v5.2.6 源码请访问 配置说明...
buji-pac4j:用于Shiro的pac4j安全性库:OAuth,CAS,SAML,OpenID Connect,LDAP,JWT。
01-30
buji-pac4j项目是Shiro Web应用程序和Web服务的简单而强大的安全性库,它支持身份验证和授权,还支持CSRF保护等高级功能。 它基于Java 8,Shiro 1.7和v5 。 它在Apache 2许可下可用。 代表认证机制。 它执行登录过程并返回用户配置文件。 间接客户端用于Web应用程序身份验证,而直接客户端用于Web服务身份验证: ▸OAuth-SAML-CAS-OpenID Connect-HTTP-Google App Engine-Kerberos-LDAP-SQL-JWT-MongoDB-CouchDB-IP地址-REST API 者旨在检查已认证的用户个人资料或当前Web上下文中的授权: ▸角色/权限-匿名/记住我/(完全)已认证-配置文件类型,属性-CORS-CSRF-安全标头-IP地址,HTTP方法 定义是否必须应用SecurityFilter并将其用于其他Web处理 根据客户端和授权者的配置, SecurityFilter通过检查用户是否已通过身份验证以及授权是否有效来保护URL。 如果用户未通过身份验证,它将对直接客户端执行身份验证,或者为
Buji Pac4j - 个强大、灵活的Java安全库
gitblog_00035的博客
03-17 575
Buji Pac4j - 个强大、灵活的Java安全库 是个基于 Java 的开源安全库,它提供了种简单的方式来保护你的 Web 应用程序。Buji Pac4j 可以与各种身份验证协议(如 OAuth, CAS, SAML 等)集成,并提供了统的 API 来处理权限控制和授权。 使用场景 Buji Pac4j 可用于任何需要保护 Web 应用程序的场合。例如,在企业内部,你可以使用 Buj...
buji-pac4j.rar
03-05
buji-pac4j demo机源码 buji-pac4j是基于java8、shiro、pac4j 2.x安全引擎的提供了认证、授权和跨站点伪造请求防范的功能强大的安全库
推荐文章:Buji-PAC4J - 开启安全整合新纪元
gitblog_01121的博客
08-18 490
推荐文章:Buji-PAC4J - 开启安全整合新纪元 在当今快速发展的技术领域,安全始终是应用开发的核心环节。当两大重量级安全框架相遇,会碰撞出怎样的火花?这就是我们今天要探索的主角 —— Buji-PAC4J,个巧妙地将PAC4J的安全上下文推送至Apache Shiro的桥梁。 项目介绍 Buji-PAC4J,作为个连接PAC4J和Apache Shiro的桥梁,允许开发者轻松地在已有...
buji-pac4j-1.2.1-sources.jar
03-09
jar包,亲测可用
buji-pac4j-1.2.0-sources.jar
03-09
jar包,亲测可用
buji-pac4j 项目使用教程
gitblog_01165的博客
08-18 490
buji-pac4j 项目使用教程 1. 项目的目录结构及介绍 buji-pac4j 项目的目录结构如下: buji-pac4j-demo/ ├── mvn/ │ └── wrapper/ ├── src/ │ └── main/ ├── .gitignore ├── README.md ├── mvnw ├── mvnw.cmd ├── pom.xml └── renovate.json...
pac4j:Java的安全引擎(身份验证,授权,多框架):OAuth,CAS,SAML,OpenID Connect,LDAP,JWT。
02-03
pac4j是Java的个简单而强大的安全引擎,用于对用户进行身份验证,获取其个人资料并管理授权,以保护Web应用程序和Web服务的安全。 它提供了套完整的。 它基于Java 8,并在Apache 2许可下可用。 它可用于大多数框架/工具,并支持大多数身份验证/授权机制。 可用的实现(通过单击您的框架开始): • • • • • • • ••• • • • • • 认证机制: - - - - - - - - - - - 授权机制: - - - 版本号 最新发布的版本是 ,在Maven中央存储库中可用。 正在开发中。
spring-security-pac4j:用于Spring安全性的pac4j安全性库:OAuth,CAS,SAML,OpenID Connect,LDAP,JWT。
01-29
spring-security-pac4j项目是个用于Spring Security Web应用程序和Web服务(带有或不带有Spring Boot)的简单而强大的安全性库。 它支持身份验证和授权,还支持会话固定和CSRF保护等高级功能。 它基于Java 8,Spring Security 5和v5 。 它在Apache 2许可下可用。 对于新的Spring Boot或Spring MVC项目,或者如果您打算将整个webapp迁移到pac4j ,则应使用库而不是该库,该库具有类似的功能,但更简单! 代表认证机制。 它执行登录过程并返回用户配置文件。 间接客户端用于Web应用程序身份验证,而直接客户端用于Web服务身份验证: ▸OAuth-SAML-CAS-OpenID Connect-HTTP-Google App Engine-Kerberos-LDAP-SQL-JWT-MongoDB-CouchDB-IP地址-REST API 者旨在检查已认证的用户个人资料或当前Web上下文中的授权: ▸角色/权限-匿名/记住我/(完全)已认证-配置文件类型,属性-CORS-CSRF-
pac4j, Java安全引擎( 认证授权多框架).zip
10-10
pac4j, Java安全引擎( 认证授权多框架)个简单而强大的安全引擎,用于为Java认证用户。获取它的概要文件和管理授权以确保web应用程序。它提供了套全面的概念和组件 。 它基于java5并且在Apache许可下可用。 对于大多数框架/工具来说,它是的,支持大多数身份
pac4j-oauth-tencent
06-11
pac4j-oauth-tencent 使用场景 CAS 服务器腾讯的 登录。需要依赖 部署 mvn -Dmaven.test.skip.exec clean deploy
SpringBoot+security+pac4j
09-07
SpringBoot+security+pac4j 的个demo,想学习的可以参考下
PAC4J 初探
热门推荐
小浩子的博客
07-29 1万+
什么是PAC4J?pac4j是个简单而强大的安全引擎,用于Java对用户进行身份验证、获取其配置文件和管理授权,以确保web应用程序安全。它提供了套完整的概念和组件。它基于Java 8,并在Apache 2许可下使用。它可用于大多数框架/工具和支持大多数认证/授权机制。已经集成可用的场景 J2E • Spring Web MVC (Spring Boot) • Spring Security (
推荐开源项目:pac4j
最新发布
gitblog_00018的博客
11-14 609
个安全认证框架,为各种 Web 框架提供统的认证和授权解决方案。 ## 项目简介 Pac4j 提供了套 Java API 和各种集成库,支持众多流行的 Web 框架,如 Spring MVC、Play Framework、Vert.x、Node.js 等。它支持 OAuth、CAS、SAML、OpenID Connect、HTTP 基本/摘要验证、JWT 等多种认证协议,并且可以轻松扩
告别shiro-cas单点登录集成库,这款简单且强壮的Java Web安全引擎pac4j你值得拥有
追寻上飞的博客
03-09 7156
官网地址传送门。 pac4j引擎全称为powerful authentication client for java,这是笔者根据其官网介绍推测的全称,不定正确,姑且这样叫着。 、缘何遇到该引擎 笔者在集成CAS服务时使用springboot+shiro搭配shiro-cas库,但是总是遇到非法令牌的问题即invalid_ticket,找了各种解释。 CAS服务器令牌失效时间短的问题1 笔者更改配置文件,尝试多次,貌似不起作用,官方说的这是默认且唯的配置; 缺少其它依赖库2 引入后也不得行; 客
Pac4j 学习笔记
zhangxin09的专栏
12-06 1189
如果你需要自定义身份验证流程,pac4j 提供了丰富的扩展点,你可以编写自己的身份验证提供者。
buji-pac4j 项目推荐
gitblog_01194的博客
11-06 441
buji-pac4j 项目推荐 项目基础介绍和主要编程语言 buji-pac4j 是个开源项目,旨在将 pac4j 安全库与 Shiro 安全框架进行桥接。该项目的主要编程语言是 Java。通过 buji-pac4j,开发者可以在使用 Shiro 的项目中集成 pac4j 的安全功能,从而实现更强大的身份验证和授权机制。 项目核心功能 buji-pac4j 的核心功能是将 pac4j 的安全上下...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值