spring - Shiro 和 CAS 如何使用不同的域进行身份验证和授权？

Question

我正在开发一个 Web 应用程序，其中多个应用程序通过 CAS SSO 服务器进行身份验证。但是，每个应用程序都应维护其各自的角色，并且这些角色存储在特定于应用程序的数据库中。所以，我需要有 2 个领域，一个用于 CAS(用于 authc)，另一个用于 DB(用于 authz)。

这是我当前的 shiro 配置。我正在重定向到 CAS 工作正常，但登录用户(主题)似乎没有加载角色/权限(例如 SecurityUtil.isPermitted() 没有按预期工作)

<bean id="jdbcRealm" class="org.apache.shiro.realm.jdbc.JdbcRealm">
        <property name="name" value="jdbcRealm" />
        <property name="dataSource" ref="dataSource" />
        <property name="authenticationQuery"
            value="SELECT password FROM system_user_accounts WHERE username=? and status=10" />
        <property name="userRolesQuery"
            value="SELECT role_code FROM system_roles r, system_user_accounts u, system_user_roles ur WHERE u.user_id=ur.user_id AND r.role_id=ur.role_id AND u.username=?" />
        <property name="permissionsQuery"
            value="SELECT code FROM system_roles r, system_permissions p, system_role_permission rp WHERE r.role_id=rp.role_id AND p.permission_id=rp.permission_id AND r.role_code=?" />

        <property name="permissionsLookupEnabled" value="true"></property>
        <property name="cachingEnabled" value="true" />
        <property name="credentialsMatcher" ref="passwordMatcher" />
    </bean>

    <!-- For CAS -->
    <bean id="casRealm" class="org.apache.shiro.cas.CasRealm">
        <property name="defaultRoles" value="ROLE_USER" />
        <property name="casServerUrlPrefix" value="http://localhost:7080/auth" />
        <property name="casService" value="http://localhost:8080/hawk-hck-web/shiro-cas" />
        <property name="validationProtocol" value="SAML" />
        <property name="cachingEnabled" value="true"></property>
    </bean>
    <bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory" />

<!-- Security Manager -->
    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">
        <property name="realms">
            <list>
                <ref bean="casRealm" />
                <ref bean="jdbcRealm" />
            </list>
        </property>
        <property name="cacheManager" ref="cacheManager"/>
        <property name="subjectFactory" ref="casSubjectFactory" />
    </bean>

<bean id="casFilter" class="org.apache.shiro.cas.CasFilter">
        <property name="failureUrl" value="/error"></property>
    </bean>

<!-- Shiro filter -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="http://localhost:7080/auth/login?service=http://localhost:8080/hawk-hck-web/shiro-cas" />
        <property name="successUrl" value="/home/index" />
        <property name="unauthorizedUrl" value="/error" />
        <property name="filters">
            <util:map>
                    <entry key="casFilter" value-ref="casFilter" /> 
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value> 
                <!-- !!! Order matters !!! -->
                /shiro-cas = casFilter
                /login = anon
                /logout = logout
                /error = anon
                /static/** = anon
                /** = authc
            </value>
        </property>
    </bean>

我向 securityManager 注册领域的方式应该是正确的。我真的找不到设置的好例子。

我在这里有两个问题:

实现上述场景的正确设置/配置是什么？

跨不同/单独的应用程序管理用户和角色的最佳实践是什么？

Answer 1

您遇到的问题与 CasRealm 和 JdbcRealm 都扩展了 AuthorizingRealm (Authorizer) 和 AuthenticatingRealm 的事实有关。我要采取的第一步是使用 JdbcRealm。 JdbcRealm 实现继承了 AuthenticatingRealm#supports(AuthenticationToken token)方法实现。如果您扩展 JdbcRealm 并覆盖“supports”方法以对所有 token 类型返回“false”，则 JdbcRealm 将不再用于身份验证目的。

@Override
public boolean supports (AuthenticationToken token) {
    return false;
}

CasRealm 是另一回事，没有办法(据我所知)轻易告诉 Shiro 不要使用实现 Authorizer 的领域检查权限时。我个人觉得令人沮丧的是，大多数协议(protocol)的默认实现都假设需要授权和身份验证。我希望每个都分成两个实现(例如 AuthenticatingCasRealm、AuthenticatingCasRealm)。

使用多个领域时检查权限背后的逻辑是 documented here .引用此行为的具体文本是:

Step 4: Each configured Realm is checked to see if it implements the same Authorizer interface. If so, the Realm's own respective hasRole*, checkRole*, isPermitted*, or checkPermission* method is called.

基于此，理论上您可以覆盖每个命名方法及其所有重载实现以始终返回“false”。

我对这个问题的解决方案是基于我之前关于将每个领域分成两个组件的评论，一个用于身份验证，一个用于授权。这样你最终会得到更多重复的代码，但它在你期望从你的实现中得到什么行为是明确的。

以下是如何去做:

创建一个扩展 org.apache.shiro.realm.AuthenticatingRealm 并实现 org.apache.shiro.util.Initializable 的新类“AuthenticatingCasRealm”。

复制并粘贴现有 CasRealm source 的内容进入你的新“AuthenticatingCasRealm”类。 (我知道复制和粘贴现有代码的方式通常不受欢迎，但在所描述的情况下，我知道没有其他解决问题的方法。)

去掉为 org.apache.shiro.realm.AuthorizingRealm 实现的所有方法。

更新您的 Shrio 配置以引用您的新 AuthenticatingCasRealm 实现。

基于这些更改，您现在应该在 Shrio 配置中有两个自定义实现； JdbcRealm 之一覆盖了“支持”方法，而 CasRealm 之一删除了授权 API 方法。

有一个additional method基于通过 Shiro 的配置显式声明授权者，这可能更适合您的情况。

这是通过自定义 ShiroFilter 扩展显式声明的 Authorizer 和 Authenticator。两者都在启动时实现并注册到提供的 JNDI 名称。

public class CustomShiroFilter extends ShiroFilter {

    @Override
    public void init () throws Exception {
        super.init();
        DefaultWebSecurityManager dwsm = (DefaultWebSecurityManager) getSecurityManager();
        dwsm.setAuthorizer((Authorizer)JndiUtil.get("realms/authorizerRealm"));
        dwsm.setAuthenticator((Authenticator)JndiUtil.get("realms/authenticatorRealm"));
    }
}