Pac4j是一个强大的客户端/服务器身份验证和授权Java库。Pac4j致力于为Java应用程序提供可重用的安全保障。在Java世界中,它是一个非常受欢迎的库,能够非常方便地处理各种身份验证和授权场景。
一、Pac4j的基本介绍
Pac4j定义了一组用于身份验证和授权的API。Pac4j提供了许多已经实现的客户端,包括CAS, OAuth, SAML, OpenID Connect, LDAP, JWT等。此外,您可以自定义和添加客户端或直接使用web.xml或Spring Security进行配置。最终,您可以使用Pac4j来保护Java Web应用程序的任何部分。 Pac4j整个库结构如下图所示:
├── pac4j-core
├── pac4j-http
├── pac4j-cas
├── pac4j-oauth
├── pac4j-saml
├── pac4j-openid-connect
├── pac4j-jwt
├── pac4j-ldap
├── pac4j-sql
├── pac4j-mongo
├── pac4j-oidc-demo
└── pac4j-webmvc-demo
pac4j-core包括所有的通用API和模型。pac4j-http实现了Web安全方面的功能。接下来的许多子项目均用于特定的身份验证方案。
二、身份验证/授权的实现
Pac4j实现身份验证和授权的基础流程是相似的,必须理解以下几个主要类:
Client
Client代表身份验证和授权服务提供商。每个客户端模块提供了特定的API来与后端服务进行通信,实现认证过程。
Credentials
Credentials代表一组身份验证凭据,例如用户名,密码等。
Authenticator
Authenticator验证Credentials并将其转换为一个或多个用户配置文件。
Profile
Profile代表一个用户配置文件和已经建立过的身份验证,承载用户相关的个人信息。
Authorizer
Authorizer接收用户配置文件并将其转换为一组授权数据,用于控制用户在应用程序中的访问权限。 Pac4j通过一组抽象接口来支持所有这些概念:
public interface Client<C extends Credentials, U extends CommonProfile> {
RedirectionAction getRedirectionAction(WebContext context);
C getCredentials(WebContext context);
U getUserProfile(C credentials, WebContext context);
}
public interface Authenticator<C extends Credentials, U extends CommonProfile> {
void validate(C credentials, WebContext context, U profileManager);
}
public interface UserProfile {
boolean isAdmin();
String getId();
String getUsername();
}
public interface Authorizer<U extends UserProfile> {
boolean isAuthorized(WebContext context, List<U> profiles);
}
三、实现示例
程序流程
Pac4j的官方例子提供了一个简单的程序流程,其中使用了两个客户端:
- FormClient: 用于表单身份验证
- FacebookClient: 用于Facebook身份验证
1、添加依赖
在Maven项目中添加Pac4j的核心依赖和Web依赖。
<dependency>
<groupId>org.pac4j</groupId>
<artifactId>pac4j-core</artifactId>
<version>4.0.5</version>
</dependency>
<dependency>
<groupId>org.pac4j</groupId>
<artifactId>pac4j-web</artifactId>
<version>4.0.5</version>
<scope>compile</scope>
</dependency>
2、编写代码
在代码中,我们在Web部分实现了我们的身份验证和授权。以下是实现表单验证和Facebook验证的代码:
private Config createConfig() {
FormClient formClient = new FormClient("/login.html", new SimpleTestUsernamePasswordAuthenticator(), new SimpleTestUsernamePasswordAuthorizer());
FacebookClient facebookClient = new FacebookClient("id", "secret");
Config config = new Config("TestApp", formClient, facebookClient);
config.setHttpActionAdapter(new DefaultHttpActionAdapter());
return config;
}
public class SimpleTestUsernamePasswordAuthenticator extends UsernamePasswordAuthenticator {
protected void internalInit() {
final String salt = "!#$%%&/()=@[]^";
setPasswordEncoder(new CommonSaltedPasswordEncoder(salt, "SHA-512"));
setUsers(new InMemoryUsers(User.build("test", salt + "testpwd", "admin")));
}
}
public class SimpleTestUsernamePasswordAuthorizer implements Authorizer<CommonProfile> {
public boolean isAuthorized(final WebContext context, final List<CommonProfile> profiles) {
RequestContext requestContext = new J2EContext((HttpServletRequest) context.getNativeRequest(), (HttpServletResponse) context.getNativeResponse());
return
FormRedirect.class.isAssignableFrom(requestContext.getResponseType()) ||
profiles != null && profiles.stream().anyMatch(profile -> profile.getUsername().equals("admin"));
}
}
3、测试应用程序
部署并启动Web应用程序,并通过浏览器访问 http://localhost:8080。当登录表单界面显示时,选择Facebook或表单验证。以下是执行Facebook验证后的截图:
四、结论
Pac4j是一个简单而强大的Java身份验证和授权库,可以轻松地适应各种场景。它提供可重用的API和组件,使得构建基于身份验证的应用程序更加简单。在您的开发中,一定要试试Pac4j。
