如何在Shiro和CAS中使用单独的领域进行身份验证和授权？

Question

如何在Shiro和CAS中使用单独的领域进行身份验证和授权？

我正在使用一个Web应用程序，其中多个应用程序通过CAS SSO服务器进行身份验证。但是，每个应用程序应保持各自的角色，并且这些角色存储在特定于该应用程序的数据库中。因此，我需要有2个领域，一个领域用于CAS（用于authc），另一个领域用于DB（用于authz）。

这是我当前的Shiro配置。我正在重定向到CAS，但工作正常，但是登录的用户（Subject）似乎没有加载角色/权限（例如，SecurityUtil.isPermitted（）不能按预期工作）

<bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
        <property name="name" value="jdbcRealm" />
        <property name="dataSource" ref="dataSource" />
        <property name="authenticationQuery"
            value="SELECT password FROM system_user_accounts WHERE username=? and status=10" />
        <property name="userRolesQuery"
            value="SELECT role_code FROM system_roles r, system_user_accounts u, system_user_roles ur WHERE u.user_id=ur.user_id AND r.role_id=ur.role_id AND u.username=?" />
        <property name="permissionsQuery"
            value="SELECT code FROM system_roles r, system_permissions p, system_role_permission rp WHERE r.role_id=rp.role_id AND p.permission_id=rp.permission_id AND r.role_code=?" />

        <property name="permissionsLookupEnabled" value="true"></property>
        <property name="cachingEnabled" value="true" />
        <property name="credentialsMatcher" ref="passwordMatcher" />
    </bean>

    <!-- For CAS -->
    <bean id="casRealm" class="org.apache.shiro.cas.CasRealm">
        <property name="defaultRoles" value="ROLE_USER" />
        <property name="casServerUrlPrefix" value="http://localhost:7080/auth" />
        <property name="casService" value="http://localhost:8080/hawk-hck-web/shiro-cas" />
        <property name="validationProtocol" value="SAML" />
        <property name="cachingEnabled" value="true"></property>
    </bean>
    <bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory" />

<!-- Security Manager -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="casRealm" />
                <ref bean="jdbcRealm" />
            </list>
        </property>
        <property name="cacheManager" ref="cacheManager"/>
        <property name="subjectFactory" ref="casSubjectFactory" />
    </bean>

<bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
        <property name="failureUrl" value="/error"></property>
    </bean>

<!-- Shiro filter -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="http://localhost:7080/auth/login?service=http://localhost:8080/hawk-hck-web/shiro-cas" />
        <property name="successUrl" value="/home/index" />
        <property name="unauthorizedUrl" value="/error" />
        <property name="filters">
            <util:map>
                    <entry key="casFilter" value-ref="casFilter" /> 
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value> 
                <!-- !!! Order matters !!! -->
                /shiro-cas = casFilter
                /login = anon
                /logout = logout
                /error = anon
                /static/** = anon
                /** = authc
            </value>
        </property>
    </bean>

Run Code Online (Sandbox Code Playgroud)

我在securityManager中注册领域的方式应该正确。我真的找不到设置的好例子。

我在这里有2个问题：

要实现上述方案，正确的设置/配置是什么？
在不同/分离的应用程序中管理用户和角色的最佳实践是什么？

Answer 1

vin*_*ice 3

您只需要一个扩展AuthorizingRealm 的领域。它将提供

authc：方法doGetAuthenticationInfo（CAS 服务器）
authz：方法doGetAuthorizationInfo(JDBC)

希望这可以帮助

归档时间：	12 年，6 月前
查看次数：	2913 次
最近记录：	9 年，3 月前