使用 pac4j 保护你的 Spark Java Web 应用

morganlee 9年前

我非常自豪的宣布基于 pac4j v1.8 (https://github.com/pac4j/pac4j)的面向SparkJava v2.3网页应用程序的 spark-pac4j v1.1 (https://github.com/pac4j/spark-pac4j) 发布了。它是一个完整的安全库,简单且强大,支持认证和授权, 还有应用程序退出以及向CSRF保护这样的高级特性。

它支持大多数认证机制:OAuth (非死book, 推ter, Google, Yahoo...), CAS, HTTP (表单, 基础认证...), OpenID Connect, SAML, Google App Engine, JWT, LDAP, RDBMS, MongoDB, 以及 Stormpath 还有大多数认证检查 (角色/权限, CSRF 令牌...)

四个步骤就能保护你的网页app:

1) 加入库的依赖 (spark-pac4j 库) 以及需要的认证机制(例如 用于非死book的oauth模块)

2) 定义认证机制(客户端)和授权方 (来检查认证)。例如:非死book 认证和 ROLE_ADMIN

非死bookClient 非死bookClient = new 非死bookClient("mykey", "mysecret");  Config config = new Config("http://localhost:9000/callback", 非死bookClient);  config.addAuthorizer("admin", new RequireAnyRoleAuthorizer("ROLE_ADMIN"));

3) 定义 非死book 认证的回调路由:

Route callback = new CallbackRoute(config);  get("/callback", callback);  post("/callback", callback);

4) 为 /非死book/* URL 添加保护,要求用户通过认证,如果没有通过则执行非死book的认证:

before("/非死book/*", new RequiresAuthenticationFilter(config, "非死bookClient"));

或者还需要用户拥有 ROLE_ADMIN:

before("/非死book/*", new RequiresAuthenticationFilter(config, "非死bookClient", "admin"));

非常简单,是不是?

尝试demo: https://github.com/pac4j/spark-pac4j-demo 并阅读文档: https://github.com/pac4j/spark-pac4j