springboot + shiro +cas 集成

shiro 认证流程图：

shiro认证流程图.png

shiro 授权流程图：

shiro-授权校验.png
shiro 认证时序图：
shiro 认证时序图 (1).png

shiro + cas 认证时序图：

shiro+cas 认证时序图 (2).png

• 首先访问http://localhost:8083/ ,会被UserFilter 拦截，因为我们在配置中配置了filterChainDefinitionMap.put("/**", "user");
• UserFilter 的逻辑就是，是否被认证过，没有认证过重定向到登录页；这里我们配置的是Cas认证中心
• Cas 认证中心认证过后，会重定向到我们的回调地址：http://127.0.0.1:8083/node3/cas， 这个在application.yml 有配置；
• http://127.0.0.1:8083/node3/cas 会被CasFilter 拦截，因为也是在配置中配置了； filterChainDefinitionMap.put("/node3/cas", "cas");
• CasFilter的逻辑就是获取Subject，并调用subject.login(token) 来认证Token;
• Subject 自己不会认证token，而是转交给SecutityManger 来验证
• SecutityManger 通过securityManager.login(this, token) 来验证token，但是它也没自己认证，而是转手给了Authenticator来做token的验证；即：Authenticator才是token的真正验证者
• Authenticator 接口通过authenticate(token)方法来验证token；这里要详细讲解一下：
  1）ModularRealmAuthenticator 为Authenticator 的实现类，也是负责验证token的核心类
  2）ModularRealmAuthenticator 对象里面有一个Collection<Realm> realms 属性，看到这个是不是有点熟悉的味道，对！没错，我们自定义的CasRealm就在这里面；因为我们在配置里面配置了；
  3）CasRealm 类通过AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) 方法返回AuthenticationInfo
  （1） 这里可以获取ticket
  （2）拿取到ticket可以验证ticket的有效性
  （3）ticket有效会返回token
  （4）拿到token可以获取用户的基本信息
  （5）用户的基本信息封装为AuthenticationInfo 对象返回
  4）拿到AuthenticationInfo 对象后，AuthenticatingRealm 的this.assertCredentialsMatch(token, info) 方法会校验token；具体看源码；
  5. 过程验证成功返回AuthenticationInfo 对象，这里对应到 7步骤
     6）然后就一直返回，直到subject.login(token)
  6. 然后CasFilter 会调用父类AuthenticatingFilter 类onLoginSuccess（）方法，进行认证成功页面的跳转；
     8）认证成功页面如果不配置放行，也会走UserFilter，但是这时已经认证过了，所以就放行，这样就访问到目标资源了；

demo地址：https://gitee.com/ShaoNianRengNianShao/springboot-shiro-cas-demo.git