phpsso开源框架

Ⅰ 使用thinkphp框架实现单点登录，服务端也要用tp，谁弄过

可以参考各大开源软件的实现模式，如discuz的uc,phpcms的phpsso等

Ⅱ 好用的低代码平台有哪些

learun .net/java 低代码快速开发平台是一套基于智能化可扩展组件式的软件系统项目，使用了当前主流的应用开发技术，框架内置工作流、向导式智能开发组件、即时通讯拍档亩组件、APP开发组件、微信组件、通用权限等一系列组件，以及可扩展的系统机制，开发人员通过一系列简单配置就可以快速构建高质量的信息系统。

力软开发框架有哪些优势

*提高开发效率

已集成大量业务模板和公共组件，开发人员只需根据开发向导进行设置就可快速完成开发工作，比起传统开发至少要节约80%工作量，能大大提升开发效率。

如果需要二次开发，可以直接修改生成的源代码。

*保证软件质量

拥有规范蠢磨的编码、专业的架构、稳定高效的底层。基于力软框架做开发，可以大幅度地提升软件质量，提升软件稳定性。

*降低开发成本

相较于定制开发和从基础自主搭建，采用力软开发方案仅需一套框架的成本，并且对框架使用人员的技术没有硬性要求，新手也可快速上手。

*提升用户满意

UI作为一款产品的“脸面”，势必影响产品的第一直观印象。框袭森架已经为开发人员提供了多套美观简洁的UI，使开发人员有更多的精力在功能开发上。配合框架良好的编码规范，开发出的产品用户体验友好度必定大大提升，用户满意度也会大大提高。

更多优势

*采用 SOA 架构，系统核心功能均可以通过服务的方式提供给外部调用，方便系统与 ERP 系统及周边系统、硬件设备接口交互能力，解决企业信息化孤岛问题。

*系统前后台通 Ajax 交互，这样使得前台不必依赖于后台的开发语言，日后要重构成php、JSP 后台的话，UI 层完全不用动。

*开发框架完美支持 Oracle、SQL Server、MYSQL 数据库，并且还支持在框架中同时操作多数据库。

*提供自定义报表功能，可通过编写SQL等作为数据来源进行构建不同类型的图形报表。

*提供工作流引擎组件，开发者可以直接在开发框架中使用自定义表单来承载业务数据进行流程审批；也可以编写代码完成复杂表单然后调用流程引擎服务进行流程审批。

*强大的权限管理组件，基于框架开发出功能后就可以直接给被授权角色授予该功能的权限。

*提供 SSO（单点登陆）服务，方便多系统统一登陆管理。

*框架支持 Websocket，消息实时达。

*提供微信企业号开发组件功能。

*提供 APP 开发功能。

*框架支持 redis 缓存集群。

*原班开发人员售后支持。

如需了解更多详情，可以前往力软官网体验

Ⅲ java开源的其它

Quartz 【Java开源 Job调度】
Quartz是OpenSymphony开源组织在Job scheling领域又一个开源项目,它可以与J2EE与J2SE应用程序相结合也可以单独使用。Quartz可以用来创建简单或为运行十个，百个，甚至是好几万个Jobs这样复杂的日程序表。Jobs可以做成标准的Java组件或 EJBs。Quartz的最新版本为Quartz 1.5.0。
Velocity 【Java开源 模板引擎】
Velocity是一个基于java的模板引擎（template engine）。它允许任何人仅仅简单的使用模板语言（template language）来引用由java代码定义的对象。 当Velocity应用于web开发时，界面设计人员可以和java程序开发人员同步开发一个遵循MVC架构的web站点，也就是说，页面设计人员可以只关注页面的显示效果，而由java程序开发人员关注业务逻辑编码。Velocity将java代码从web页面中分离出来，这样为web站点的长期维护提供了便利，同时也为我们在JSP和PHP之外又提供了一种可选的方案。 Velocity的能力远不止web站点开发这个领域，例如，它可以从模板（template）产生SQL和PostScript、XML，它也可以被当作一个独立工具来产生源代码和报告，或者作为其他系统的集成组件使用。Velocity也可以为Turbine web开发架构提供模板服务（template service）。Velocity+Turbine提供一个模板服务的方式允许一个web应用以一个真正的MVC模型进行开发。 【VeloEclipse ：Velocity在Eclipse平台下的一个辅助开发插件】
Roller Weblogger 【Java开源 Blog博客】
这个weblogging 设计得比较精巧，源代码是很好的学习资料。它支持weblogging应有的特性如：评论功能，所见即所得HTML编辑，TrackBack，提供页面模板，RSS syndication,blogroll管理和提供一个XML-RPC 接口。
XPlanner 【Java开源 项目管理】
XPlanner 一个基于Web的XP团队计划和跟踪工具。XP独特的开发概念如iteration、user stories等，XPlanner都提供了相对应的的管理工具，XPlanner支持XP开发流程，并解决利用XP思想来开发项目所碰到的问题。XPlanner特点包括：简单的模型规划，虚拟笔记卡(Virtual note cards),iterations、user stories与工作记录的追踪，未完成stories将自动迭代，工作时间追踪，生成团队效率，个人工时报表，SOAP界面支持。
JOnAS 【Java开源 J2EE服务器】
JOnAS是一个开放源代码的J2EE实现，在ObjectWeb协会中开发。整合了Tomcat或Jetty成为它的Web容器，以确保符合Servlet 2.3和JSP 1.2规范。JOnAS服务器依赖或实现以下的Java API：JCA、JDBC、JTA 、JMS、JMX、JNDI、JAAS、JavaMail 。
FreeMarker 【Java开源 模板引擎】
FreeMarker允许Java servlet保持图形设计同应用程序逻辑的分离，这是通过在模板中密封HTML完成的。模板用servlet提供的数据动态地生成 HTML。模板语言是强大的直观的，编译器速度快，输出接近静态HTML页面的速度。
【FreeMarker Eclipse Plugin与FreeMarker IDE：Eclipse平台下的辅助开发工具】
Lucene 【Java开源 全文检索】
Apache Lucene是一个开放源程序的搜寻器引擎，利用它可以轻易地为Java软件加入全文搜寻功能。Lucene的最主要工作是替文件的每一个字作索引，索引让搜寻的效率比传统的逐字比较大大提高，Lucen提供一组解读，过滤，分析文件，编排和使用索引的API，它的强大之处除了高效和简单外，是最重要的是使使用者可以随时应自己需要自订其功能。
Beanshell 【Java开源 动态语言】
Beanshell是用Java写成的，一个小型的、免费的、可以下载的、嵌入式的Java源代码解释器，具有对象脚本语言特性。BeanShell执行标准Java语句和表达式，另外包括一些脚本命令和语法。它将脚本化对象看作简单闭包方法（simple method closure）来支持，就如同在Perl和JavaScript中的一样。它具有以下的一些特点：使用Java反射API以提供Java语句和表达式的实时解释执行；可以透明地访问任何Java对象和API；可以在命令行模式、控制台模式、小程序模式和远程线程服务器模式等四种模式下面运行；与在应用程序中一样，可以在小程序中（Applet）正常运行（无需编译器或者类装载器）；非常精简的解释器jar文件大小为175k
Big Two 【Java开源 Java游戏】
采用Java开发的中国式纸牌升级游戏。源码下载
JBoss SSO Framework 【Java开源 身份认证管理】
JBoss SSO Framework是一个组件集能够很容易集成到现有的web应用中提供单一登录功能.该框架已经能够支持一些重要的SSO标准如SAML。整个系统包括以下组件：
1.联合服务器(Federation Server)– 一个联合服务器用于为放置在不同安全域(security domain)中的web应用程序安全地传播Federation Token。
2.Token编排框架(Token Marshalling Framework)– 这是一组灵活的/可插件的Java API用来marshal/unmarshal一个Federation Token。该系统默认提供一个SAML兼容的编排器(Marshaller) 。
3.身份管管理框架(Identity Management Framework)–这是一组灵活的/可插件的Java API用来连接中中央身份存储库(Identity Store)。该系统默认提供一个Provider来连接基于LDAP的身份存储库。
JawFlow 【Java开源 开源工作流】
JawFlow是一个部分遵循WfMC规范，采用JMX技术开发的工作流引擎。它能够解析XPDL，并能够用Java或BSF支持的脚本语言来自定义行为。
rails-asyncweb 【Java开源 Web服务器】
用于JRuby on Rails的一个快速Http服务器。
jBatchEngine 【Java开源 Job调度】
jBatchEngine是一个采用Java开发的批任务spooler。jBatchEngine与其它以时间为驱动的Job调度引擎不同之处在于它是以事件以驱动，可用于启动任何批处理程序。jBatchEngine可以安装成一个Windows Service或一个Unix Daemon。
Gant 【Java开源 项目构建】
Gant是一个基于Ant的构建工具，它采用Groovy脚本代替XML来编写构建逻辑。 Gant完全依赖于Ant task来做真正的事情，所以你如果用Ant实现构建，但不喜欢用XML构建文件，Gant是一个不错的选择。
Jaxmao 【Java开源 Web服务器】
Tomcat是开源的JSP/Servlet服务器。多年的开发使Tomcat已越来越完善，被越来越多的网站采用。Jaxmao(中文版Tomcat)项目的任务是为Tomcat提供一个友好的中文界面，推广Tomcat在中文JSP/Serlet 开发者中的使用。
Metanotion BlockFile 【Java开源 DBMS数据库】
BlockFile一个100%纯Java，轻量级，单个文件嵌入式数据库。它的功能介于SQLite与BerkeleyDB之间。专门为PDA和Mobile应用程序而开发。
JRuleEngine 【Java开源 规则引擎】
JRuleEngine基于JSR94规范的java规则引擎。
JBasic 【Java开源 动态语言】
JBasic是一个完全采用Java开发的BASIC语言解释器。JBasic可运行在大部分Unix系统(包括Mac OS X),Windows command shell,或VMS DCL command line。
jSoapServer 【Java开源 Web Service】
jSoapServer这个Java类包可以集成到Java应用程序中为外部程序提供一个SOAP接口。jSoapServer是一个独立的SOAP服务器,因此不需要让Java程序运行在像Tomcat这样的容器中。
Artistic Style 【Java开源 代码优化】
Artistic Style是一个C,C++,C#和Java源代码缩排/格式化/美化工具。
JLoom 【Java开源 模板引擎】
JLoom是一个采用类似于JSP语法的模板引擎。参数可以是任何Java类型，甚至是泛型(generic)。JLoom还提供一个Eclipse插件来辅助开发。
Liquid look&feel 【Java开源 Swing外观】
基于Mosfet Liquid KDE 3.x主题的Swing外观。
MicroNova YUZU 【Java开源 JSP标签】
MicroNova YUZU开源基于EL的JSP标签库。这是一个增强的JSTL(兼容JSP1.2与JSP 2.0)。

Ⅳ GitHub上面有哪些经典的java框架源码

• Bazel：来自Google的构建工具，可以快速、可靠地构建代码。官网

• Gradle：使用Groovy（非XML）进行增量构建，可以很好地与Maven依赖管理配合工作。官网

• Buck：Facebook构建工具。官网

字节码操作

编程方式操作字节码的开发库。

• ASM：通用底层字节码操作和分析开发库。官网

• Byte Buddy：使用流式API进一步简化字节码生成。官网

• Byteman：在运行时通过DSL（规则）操作字节码进行测试和故障排除。官网

• Javassist：一个简化字节码编辑尝试。官网

集群管理

在集群内动态管理应用程序的框架。

• Apache Aurora：Apache Aurora是一个Mesos框架，用于长时间运行服务和定时任务（cron job）。官网

• Singularity：Singularity是一个Mesos框架，方便部署和操作。它支持Web Service、后台运行、调度作业和一次性任务。官网

代码分析

测量代码指标和质量工具。

• Checkstyle：代码编写规范和标准静态分析工具。官网

• Error Prone：将常见编程错误作为运行时错误报告。官网

• FindBugs：通过字节码静态分析查找隐藏bug。官网

• jQAssistant：使用基于Neo4J查询语言进行代码静态分析。官网

• PMD：对源代码分析查找不良的编程习惯。官网

• SonarQube：通过插件集成其它分析组件，对过去一段时间内的数据进行统计。官网

编译器生成工具

用来创建解析器、解释器或编译器的框架。

• ANTLR：复杂的全功能自顶向下解析框架。官网

• JavaCC：JavaCC是更加专门的轻量级工具，易于上手且支持语法超前预测。官网

外部配置工具

支持外部配置的开发库。

• config：针对JVM语言的配置库。官网

• owner：减少冗余配置属性。官网

约束满足问题求解程序

帮助解决约束满足问题的开发库。

• Choco：可直接使用的约束满足问题求解程序，使用了约束规划技术。官网

• JaCoP：为FlatZinc语言提供了一个接口，可以执行MiniZinc模型。官网

• OptaPlanner：企业规划与资源调度优化求解程序。官网

• Sat4J：逻辑代数与优化问题最先进的求解程序。官网

持续集成

• Bamboo：Atlassian解决方案，可以很好地集成Atlassian的其他产品。可以选择开源许可，也可以购买商业版。官网

• CircleCI：提供托管服务，可以免费试用。官网

• Codeship：提供托管服务，提供有限的免费模式。官网

• fabric8：容器集成平台。官网

• Go：ThoughtWork开源解决方案。官网

• Jenkins：支持基于服务器的部署服务。官网

• TeamCity：JetBrain的持续集成解决方案，有免费版。官网

• Travis：通常用作开源项目的托管服务。官网

• Buildkite: 持续集成工具，用简单的脚本就能设置pipeline，而且能快速构建，可以免费试用。官网

CSV解析

简化CSV数据读写的框架与开发库

• uniVocity-parsers：速度最快功能最全的CSV开发库之一，同时支持TSV与固定宽度记录的读写。官网

数据库

简化数据库交互的相关工具。

• Apache Phoenix：HBase针对低延时应用程序的高性能关系数据库层。官网

• Crate：实现了数据同步、分片、缩放、复制的分布式数据存储。除此之外还可以使用基于SQL的语法跨集群查询。官网

• Flyway：简单的数据库迁移工具。官网

• H2：小型SQL数据库，以可以作为内存数据库使用着称。官网

• HikariCP：高性能JDBC连接工具。官网

• JDBI：便捷的JDBC抽象。官网

• Protobuf：Google数据交换格式。官网

• SBE：简单二进制编码，是最快速的消息格式之一。官网

• Wire：整洁轻量级协议缓存。官网

帮实现依赖翻转范式的开发库。官网

• Apache DeltaSpike：CDI扩展框架。官网

• Dagger2：编译时注入框架，不需要使用反射。官网

• Guice：可以匹敌Dagger的轻量级注入框架。官网

• HK2：轻量级动态依赖注入框架。官网

开发流程增强工具

从最基本的层面增强开发流程。

• ADT4J：针对代数数据类型的JSR-269代码生成器。官网

• AspectJ：面向切面编程（AOP）的无缝扩展。官网

• Auto：源代码生成器集合。官网

• DCEVM：通过修改JVM在运行时支持对已加载的类进行无限次重定义。官网

• HotswapAgent：支持无限次重定义运行时类与资源。官网

• Immutables：类似Scala的条件类。官网

• JHipster：基于Spring Boot与AngularJS应用程序的Yeoman源代码生成器。官网

• JRebel：无需重新部署，可以即时重新加载代码与配置的商业软件。官网

• Lombok：减少冗余的代码生成器。官网

• Spring Loaded：类重载代理。官网

• vert.x：多语言事件驱动应用框架。官网

分布式应用

用来编写分布式容错应用的开发库和框架。

• Akka：用来编写分布式容错并发事件驱动应用程序的工具和运行时。官网

• Apache Storm：实时计算系统。官网

• Apache ZooKeeper：针对大型分布式系统的协调服务，支持分布式配置、同步和名称注册。官网

• Hazelcast：高可扩展内存数据网格。官网

• Hystrix：提供延迟和容错。官网

• JGroups：提供可靠的消息传递和集群创建的工具。官网

• Orbit：支持虚拟角色（Actor），在传统角色的基础上增加了另外一层抽象。官网

• Quasar：为JVM提供轻量级线程和角色。官网

分布式数据库

对应用程序而言，在分布式系统中的数据库看起来就像是只有一个数据源。

• Apache Cassandra：列式数据库，可用性高且没有单点故障。官网

• Apache HBase：针对大数据的Hadoop数据库。官网

• Druid：实时和历史OLAP数据存储，在聚集查询和近似查询方面表现不俗。官网

• Infinispan：针对缓存的高并发键值对数据存储。官网

发布

以本机格式发布应用程序的工具。

• Bintray：发布二进制文件版本控制工具。可以于Maven或Gradle一起配合使用。提供开源免费版本和几种商业收费版本。官网

• Central Repository：最大的二进制组件仓库，面向开源社区提供免费服务。Apache Maven默认使用Central官网Repository，也可以在所有其他构建工具中使用。

• IzPack：为跨平台部署建立创作工具（Authoring Tool）。官网

• JitPack：打包GitHub仓库的便捷工具。可根据需要构建Maven、Gradle项目，发布可立即使用的组件。官网

• Launch4j：将JAR包装为轻量级本机Windows可执行程序。官网

• Nexus：支持代理和缓存功能的二进制管理工具。官网

• packr：将JAR、资源和JVM打包成Windows、Linux和Mac OS X本地发布文件。官网

文档处理工具

处理Office文档的开发库。

• Apache POI：支持OOXML规范（XLSX、DOCX、PPTX）以及OLE2规范（XLS、DOC、PPT）。官网

• documents4j：使用第三方转换器进行文档格式转换，转成类似MS Word这样的格式。官网

• jOpenDocument：处理OpenDocument格式（由Sun公司提出基于XML的文档格式）。官网

函数式编程

函数式编程支持库。

• Cyclops：支持一元（Monad）操作和流操作工具类、comprehension（List语法）、模式匹配、trampoline等特性。官网

• Fugue：Guava的函数式编程扩展。官网

• Functional Java：实现了多种基础和高级编程抽象，用来辅助面向组合开发（composition-oriented development）。官网

• Javaslang：一个函数式组件库，提供持久化数据类型和函数式控制结构。官网

• jOOλ：旨在填补Java 8 lambda差距的扩展，提供了众多缺失的类型和一组丰富的顺序流API。官网

游戏开发

游戏开发框架。

• jMonkeyEngine：现代3D游戏开发引擎。官网

• libGDX：全面的跨平台高级框架。官网

• LWJGL：对OpenGL/CL/AL等技术进行抽象的健壮框架。官网

GUI

现代图形化用户界面开发库。

• JavaFX：Swing的后继者。官网

• Scene Builder：开发JavaFX应用的可视化布局工具。官网

高性能计算

涵盖了从集合到特定开发库的高性能计算相关工具。

• Agrona：高性能应用中常见的数据结构和工具方法。官网

• Disruptor：线程间消息传递开发库。官网

• fastutil：快速紧凑的特定类型集合（Collection）。官网

• GS Collections：受Smalltalk启发的集合框架。官网

• HPPC：基础类型集合。官网

• Javolution：实时和嵌入式系统的开发库。官网

• JCTools：JDK中缺失的并发工具。官网

• Koloboke：Hash set和hash map。官网

• Trove：基础类型集合。官网

• High-scale-bli:Cliff Click 个人开发的高性能并发库官网

IDE

简化开发的集成开发环境。

• Eclipse：老牌开源项目，支持多种插件和编程语言。官网

• IntelliJ IDEA：支持众多JVM语言，是安卓开发者好的选择。商业版主要针对企业客户。官网

• NetBeans：为多种技术提供集成化支持，包括Java SE、Java EE、数据库访问、HTML5

• Imgscalr：纯Java 2D实现，简单、高效、支持硬件加速的图像缩放开发库。官网

• Picasso：安卓图片下载和图片缓存开发库。官网

• Thumbnailator：Thumbnailator是一个高质量Java缩略图开发库。官网

• ZXing：支持多种格式的一维、二维条形码图片处理开发库。官网

• im4java: 基于ImageMagick或GraphicsMagick命令行的图片处理开发库，基本上ImageMagick能够支持的图片格式和处理方式都能够处理。官网

• Apache Batik：在Java应用中程序以SVG格式显示、生成及处理图像的工具集，包括SVG解析器、SVG生成器、SVG DOM等模块，可以集成使用也可以单独使用，还可以扩展自定义的SVG标签。官网

JSON

简化JSON处理的开发库。

• Genson：强大且易于使用的Java到JSON转换开发库。官网

• Gson：谷歌官方推出的JSON处理库，支持在对象与JSON之间双向序列化，性能良好且可以实时调用。官网

• Jackson：与GSON类似，在频繁使用时性能更佳。官网

• LoganSquare：基于Jackson流式API，提供对JSON解析和序列化。比GSON与Jackson组合方式效果更好。官网

• Fastjson：一个Java语言编写的高性能功能完善的JSON库。官网

• Kyro：快速、高效、自动化的Java对象序列化和克隆库。官网

JVM与JDK

目前的JVM和JDK实现。

• JDK 9：JDK 9的早期访问版本。官网

• OpenJDK：JDK开源实现。官网

基于JVM的语言

除Java外，可以用来编写JVM应用程序的编程语言。

• Scala：融合了面向对象和函数式编程思想的静态类型编程语言。官网

• Groovy：类型可选（Optionally typed）的动态语言，支持静态类型和静态编译。目前是一个Apache孵化器项目。官网

• Clojure：可看做现代版Lisp的动态类型语言。官网

• Ceylon：RedHat开发的面向对象静态类型编程语言。官网

• Kotlin：JetBrain针对JVM、安卓和浏览器提供的静态类型编程语言。官网

• Xtend：一种静态编程语言，能够将其代码转换为简洁高效的Java代码，并基于JVM运行。官网

日志

记录应用程序行为日志的开发库。

• Apache Log4j 2：使用强大的插件和配置架构进行完全重写。官网

• kibana：分析及可视化日志文件。官网

• Logback：强健的日期开发库，通过Groovy提供很多有趣的选项。官网

• logstash：日志文件管理工具。官网

• Metrics：通过JMX或HTTP发布参数，并且支持存储到数据库。官网

• SLF4J：日志抽象层，需要与具体的实现配合使用。官网

机器学习

提供具体统计算法的工具。其算法可从数据中学习。

• Apache Flink：快速、可靠的大规模数据处理引擎。官网

• Apache Hadoop：在商用硬件集群上用来进行大规模数据存储的开源软件框架。官网

• Apache Mahout：专注协同过滤、聚类和分类的可扩展算法。官网

• Apache Spark：开源数据分析集群计算框架。官网

• DeepDive：从非结构化数据建立结构化信息并集成到已有数据库的工具。官网

• Deeplearning4j：分布式多线程深度学习开发库。官网

• H2O：用作大数据统计的分析引擎。官网

• Weka：用作数据挖掘的算法集合，包括从预处理到可视化的各个层次。官网

• QuickML：高效机器学习库。官网、GitHub

消息传递

在客户端之间进行消息传递，确保协议独立性的工具。

• Aeron：高效可扩展的单播、多播消息传递工具。官网

• Apache ActiveMQ：实现JMS的开源消息代理（broker），可将同步通讯转为异步通讯。官网

• Apache Camel：通过企业级整合模式（Enterprise Integration Pattern EIP）将不同的消息传输API整合在一起。官网

• Apache Kafka：高吞吐量分布式消息系统。官网

• Hermes：快速、可靠的消息代理（Broker），基于Kafka构建。官网

• JBoss HornetQ：清晰、准确、模块化，可以方便嵌入的消息工具。官网

• JeroMQ：ZeroMQ的纯Java实现。官网

• Smack：跨平台XMPP客户端函数库。官网

• Openfire：是开源的、基于XMPP、采用Java编程语言开发的实时协作服务器。 Openfire安装和使用都非常简单，并可利用Web界面进行管理。官网GitHub

• Spark：是一个开源，跨平台IM客户端。它的特性支持集组聊天，电话集成和强大安全性能。如果企业内部部署IM使用Openfire+Spark是最佳的组合。官网GitHub

• Tigase： 是一个轻量级的可伸缩的 Jabber/XMPP 服务器。无需其他第三方库支持，可以处理非常高的复杂和大量的用户数，可以根据需要进行水平扩展。官网

杂项

未分类其它资源。

• Design Patterns：实现并解释了最常见的设计模式。官网

• Jimfs：内存文件系统。官网

• Lanterna：类似curses的简单console文本GUI函数库。官网

• LightAdmin：可插入式CRUD UI函数库，可用来快速应用开发。官网

• OpenRefine：用来处理混乱数据的工具，包括清理、转换、使用Web Service进行扩展并将其关联到数据库。官网

• RoboVM：Java编写原生iOS应用。官网

• Quartz：强大的任务调度库.官网

应用监控工具

监控生产环境中应用程序的工具。

• AppDynamics：性能监测商业工具。官网

• JavaMelody：性能监测和分析工具。官网

• Kamon：Kamon用来监测在JVM上运行的应用程序。官网

• New Relic：性能监测商业工具。官网

• SPM：支持对JVM应用程序进行分布式事务追踪的性能监测商业工具。官网

• Takipi：产品运行时错误监测及调试商业工具。官网

原生开发库

用来进行特定平台开发的原生开发库。

• JNA：不使用JNI就可以使用原生开发库。此外，还为常见系统函数提供了接口。官网

自然语言处理

用来专门处理文本的函数库。

• Apache OpenNLP：处理类似分词等常见任务的工具。官网

• CoreNLP：斯坦佛CoreNLP提供了一组基础工具，可以处理类似标签、实体名识别和情感分析这样的任务。官网

• LingPipe：一组可以处理各种任务的工具集，支持POS标签、情感分析等。官网

• Mallet：统计学自然语言处理、文档分类、聚类、主题建模等。官网

网络

网络编程函数库。

• Async Http Client：异步HTTP和WebSocket客户端函数库。官网

• Grizzly：NIO框架，在Glassfish中作为网络层使用。官网

• Netty：构建高性能网络应用程序开发框架。官网

• OkHttp：一个Android和Java应用的HTTP+SPDY客户端。官网

• Undertow：基于NIO实现了阻塞和非阻塞API的Web服务器，在WildFly中作为网络层使用。官网

ORM

处理对象持久化的API。

• Ebean：支持快速数据访问和编码的ORM框架。官网

• EclipseLink：支持许多持久化标准，JPA、JAXB、JCA和SDO。官网

• Hibernate：广泛使用、强健的持久化框架。Hibernate的技术社区非常活跃。官网

• MyBatis：带有存储过程或者SQL语句的耦合对象（Couples object）。官网

• OrmLite：轻量级开发包，免除了其它ORM产品中的复杂性和开销。官网

• Nutz：另一个SSH。官网，Github

• JFinal：JAVA WEB + ORM框架。官网，Github

PDF

用来帮助创建PDF文件的资源。

• Apache FOP：从XSL-FO创建PDF。官网

• Apache PDFBox：用来创建和操作PDF的工具集。官网

• DynamicReports：JasperReports的精简版。官网

• flyingsaucer：XML/XHTML和CSS 2.1渲染器。官网

• iText：一个易于使用的PDF函数库，用来编程创建PDF文件。注意，用于商业用途时需要许可证。官网

• JasperReports：一个复杂的报表引擎。官网

性能分析

性能分析、性能剖析及基准测试工具。

• jHiccup：提供平台中JVM暂停的日志和记录。官网

• JMH：JVM基准测试工具。官网

• JProfiler：商业分析器。官网

• LatencyUtils：测量和报告延迟的工具。官网

• VisualVM：对运行中的应用程序信息提供了可视化界面。官网

• YourKit Java Profiler：商业分析器。官网

响应式开发库

用来开发响应式应用程序的开发库。

• Reactive Streams：异步流处理标准，支持非阻塞式反向压力（backpressure）。官网

• Reactor：构建响应式快速数据（fast-data）应用程序的开发库。官网

• RxJava：通过JVM可观察序列（observable sequence）构建异步和基于事件的程序。官网

REST框架

用来创建RESTful 服务的框架。

• Dropwizard：偏向于自己使用的Web框架。用来构建Web应用程序，使用了Jetty、Jackson、Jersey和Metrics。官网

• Feign：受Retrofit、JAXRS-2.0和WebSocket启发的HTTP客户端连接器（binder）。官网

• Jersey：JAX-RS参考实现。官网

• RESTEasy：经过JAX-RS规范完全认证的可移植实现。官网

• RestExpress：一个Java类型安全的REST客户端。官网

• RestX：基于注解处理和编译时源码生成的框架。官网

• Retrofit：类型安全的REST客户端。官网

• Spark：受到Sinatra启发的Java REST框架。官网

• Swagger：Swagger是一个规范且完整的框架，提供描述、生产、消费和可视化RESTful Web Service。官网

• Blade：国人开发的一个轻量级的MVC框架. 它拥有简洁的代码，优雅的设计。官网

科学计算与分析

用于科学计算和分析的函数库。

• DataMelt：用于科学计算、数据分析及数据可视化的开发环境。官网

• JGraphT：支持数学图论对象和算法的图形库。官网

• JScience：用来进行科学测量和单位的一组类。官网

搜索引擎

文档索引引擎，用于搜索和分析。

• Apache Solr：一个完全的企业搜索引擎。为高吞吐量通信进行了优化。官网

• Elasticsearch：一个分布式、支持多租户（multitenant）全文本搜索引擎。提供了RESTful Web接口和无schema的JSON文档。官网

• Apache Lucene：是一个开放源代码的全文检索引擎工具包，是一个全文检索引擎的架构，提供了完整的查询引擎和索引引擎，部分文本分析引擎。官网

安全

用于处理安全、认证、授权或会话管理的函数库。

• Apache Shiro：执行认证、授权、加密和会话管理。官网

• Bouncy Castle，涵盖了从基础的帮助函数到PGP/SMIME操作。官网：多途加密开发库。支持JCA提供者（JCA provider)

• Cryptomator：在云上进行客户端跨平台透明加密。官网

• Keycloak：为浏览器应用和RESTful Web Service集成SSO和IDM。目前还处于beta版本，但是看起来非常有前途。官网

• PicketLink：PicketLink是一个针对Java应用进行安全和身份认证管理的大型项目（Umbrella Project）。官网

序列化

用来高效处理序列化的函数库。

• FlatBuffers：高效利用内存的序列化函数库，无需解包和解析即可高效访问序列化数据。官网

• Kryo：快速、高效的对象图形序列化框架。官网

• FST：提供兼容JDK的高性能对象图形序列化。官网

• MessagePack：一种高效的二进制序列化格式。官网

应用服务器

用来部署应用程序的服务器。

• Apache Tomcat：针对Servlet和JSP的应用服务器，健壮性好且适用性强。官网

• Apache TomEE：Tomcat加Java EE。官网

• Jetty：轻量级、小巧的应用服务器，通常会嵌入到项目中。官网

• WebSphere Liberty：轻量级、模块化应用服务器，由IBM开发。官网

• WildFly：之前被称作JBoss，由Red Hat开发。支持很多Java EE功能。官网

模板引擎

在模板中替换表达式的工具。

• Apache Velocity：提供HTML页面模板、email模板和通用开源代码生成器模板。官网

• FreeMarker：通用模板引擎，不需要任何重量级或自己使用的依赖关系。官网

• Handlebars.java：使用Java编写的模板引擎，逻辑简单，支持语义扩展（semantic Mustache）。官网

• Thymeleaf：旨在替换JSP，支持XML文件的工具。官网

测试

测试内容从对象到接口，涵盖性能测试和基准测试工具。

• Apache JMeter：功能性测试和性能评测。官网

• Arquillian：集成测试和功能行测试平台，集成Java EE容器。官网

• AssertJ：支持流式断言提高测试的可读性。官网

• Awaitility：用来同步异步操作的DSL。官网

• Cucumber：BDD测试框架。官网

• Gatling：设计为易于使用、可维护的和高性能负载测试工具。官网

• Hamcrest：可用来灵活创建意图（intent）表达式的匹配器。官网

• JMockit：用来模拟静态、final方法等。官网

• JUnit：通用测试框架。官网

• Mockito：在自动化单元测试中创建测试对象，为TDD或BDD提供支持。官网

• PowerMock： 支持模拟静态方法、构造函数、final类和方法、私有方法以及移除静态初始化器的模拟工具。官网

• REST Assured：为REST/HTTP服务提供方便测试的Java DSL。官网

• Selenide：为Selenium提供精准的周边API，用来编写稳定且可读的UI测试。官网

• Selenium：为Web应用程序提供可移植软件测试框架。官网

• Spock：JUnit-compatible framework featuring an expressive Groovy-derived specification language.官网兼容JUnit框架，支持衍生的Groovy范的语言。

• TestNG：测试框架。官网

• Truth：Google的断言和命题（proposition）框架。官网

• Unitils：模块化测试函数库，支持单元测试和集成测试。官网

• WireMock：Web Service测试桩（Stub）和模拟函数。官网

通用工具库

通用工具类函数库。

• Apache Commons：提供各种用途的函数，比如配置、验证、集合、文件上传或XML处理等。官网

• args4j：命令行参数解析器。官网

• CRaSH：为运行进行提供CLI。官网

• Gephi：可视化跨平台网络图形化操作程序。官网

• Guava：集合、缓存、支持基本类型、并发函数库、通用注解、字符串处理、I/O等。官网

• JADE：构建、调试多租户系统的框架和环境。官网

• javatuples：正如名字表示的那样，提供tuple支持。尽管目前tuple的概念还有留有争议。官网

• JCommander：命令行参数解析器。官网

• Protégé：提供存在论（ontology）编辑器以及构建知识系统的框架。官网

网络爬虫

用于分析网站内容的函数库。

• Apache Nutch：可用于生产环境的高度可扩展、可伸缩的网络爬虫。官网

• Crawler4j：简单的轻量级网络爬虫。官网

• JSoup：刮取、解析、操作和清理HTML。官网

Web框架

用于处理Web应用程序不同层次间通讯的框架。

• Apache Tapestry：基于组件的框架，使用Java创建动态、强健的、高度可扩展的Web应用程序。官网

• Apache Wicket：基于组件的Web应用框架，与Tapestry类似带有状态显示GUI。官网

• Google Web Toolkit：一组Web开发工具集，包含在客户端将Java代码转为JavaScript的编译器、XML解析器、RCP官网API、JUnit集成、国际化支持和GUI控件。

• Grails：Groovy框架，旨在提供一个高效开发环境，使用约定而非配置、没有XML并支持混入（mixin）。官网

• Ninja：Java全栈Web开发框架。非常稳固、快速和高效。官网

• Pippo：小型、高度模块化的类Sinatra框架。官网

• Play：使用约定而非配置，支持代码热加载并在浏览器中显示错误。官网

• PrimeFaces：JSF框架，提供免费和带支持的商业版本。包括若干前端组件。官网

• Ratpack：一组Java开发函数库，用于构建快速、高效、可扩展且测试完备的HTTP应用程序。官网

• Spring Boot：微框架，简化了Spring新程序的开发过程。官网

• Spring：旨在简化Java EE的开发过程，提供依赖注入相关组件并支持面向切面编程。官网

• Vaadin：基于GWT构建的事件驱动框架。使用服务端架构，客户端使用Ajax。官网

• Blade：国人开发的一个轻量级的MVC框架. 它拥有简洁的代码，优雅的设计。官网

业务流程管理套件

流程驱动的软件系统构建。

• jBPM：非常灵活的业务流程管理框架，致力于构建开发与业务分析人员之间的桥梁。官网

• Activity：轻量级工作流和业务流程管理框架。官网github

资源

社区

Ⅳ CAS单点登录原理分析(一)

一，业务分析

在分布式系统架构中，假设把上述的三个子系统部署在三个不同的服务器上。前提是用户登录之后才能访问这些子系统。那么使用传统方式，可能会存在这样的问题：

1.当访问用户中心，需要用户登录帐号

2.当访问购物车，还需要用户登录帐号

3.当访问商品结算，又一次需要用户登录帐号

访问每一个子系统都需要用户登录帐号，这样的体验对于用户来说是极差。而使用单点登录就可以很好地解决上述的问题。

二，单点登录

单点登录（Single Sign On），简称为 SSO，是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

我们目前的系统存在诸多子系统，而这些子系统是分别部署在不同的服务器中，那么使用传统方式的 session 是无法解决的，我们需要使用相关的单点登录技术来解决。

第一步 ：用户访问应用系统1。过滤器判断用户是否登录，没有登录，则重定向（302）到认证系统去进行认证操作。

第二步 ：重定向到认证系统，显示登录界面，用户输入用户名密码。认证系统将用户登录的信息记录到服务器的session中。

第三步 ：认证系统给浏览器发送一个特殊的凭证ticket，浏览器将凭证交给应用系统1，应用系统1则拿着浏览器交给他的凭证ticket去认证系统验证凭证ticket是否有效。凭证ticket若是有效，将用户信息保存到应用系统1的session中一份，并告知应用系统1，用户通过认证。

第四步 ：用户通过认证，浏览器与网站之间进行正常的访问。

第五步 ：当用户再次访问应用系统1，由于应用系统1的session中有用户信息，所以就不用经过认证系统认证，就可以直接访问应用系统1了。

第六步 ：当用户再去访问其他应用系统时，浏览器会带着凭证ticket过去，其他应用系统到认证系统验证凭证，凭证ticket若是有效，将用户信息保存到其他应用系统的session中一份，并告知其他应用系统，用户通过认证。

第七步 ：用户通过认证，浏览器与网站之间进行正常的访问。

第八步 ：当用户再次访问其他应用系统，由于其他应用系统的session中有用户信息，所以就不用经过认证系统认证，就可以直接访问其他应用系统了。

三、Yelu大学研发的CAS(Central Authentication Server)

1.什么是CAS？

CAS 是 Yale 大学发起的一个开源项目，旨在为 Web 应用系统提供一种可靠的单点登录方法，CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。CAS 具有以下特点：

【1】开源的企业级单点登录解决方案。

【2】CAS Server 为需要独立部署的 Web 应用。这个CAS框架已经提供

【3】CAS Client 支持非常多的客户端(这里指单点登录系统中的各个 Web 应用)，包括Java, .Net, PHP, Perl, Apache, uPortal, Ruby 等。

从结构上看，CAS 包含两个部分： CAS Server 和 CAS Client。CAS Server 需要独立部署，主要负责对用户的认证工作；CAS Client 负责处理对客户端受保护资源的访问请求，需要登录时，重定向到 CAS Server。下图是 CAS 最基本的协议过程：

2.CAS的详细登录流程

该图主要描述

1.第一次访问http://shopping.xiaogui.com

2.在登录状态下第二次访问http://shopping.xiaogui.com

3.在登录状态下第一次访问http://pay.xiaogui.com

下面对图中序号代表的操作进行说明

当用户第一次访问http://shopping.xiaogui.com

序号1: 用户请求http://shopping.xiaogui.com，会经过AuthenticationFilter认证过滤器(在cas client 的web.xml中配置)

主要作用：判断是否登录，如果没有登录则重定向到认证中心。

大概知道这个就行，CAS的具体实现会在以后的博客中写道

序号2:  AuthenticationFilter发现用户没有登录，则返回浏览器重定向地址。

重定向的地址就是认证服务器CAS Server的地址，后面的参数是我们请求的客户端地址，这个参数目的就是为了认证成功以后，根据这个参数的地址重定向回请求的客户端

序号3:  浏览器根据响应回来的重定向地址，向cas.xiaogui.com认证系统发出请求

序号4:  认证系统cas.xiaogui.com接收请求，响应登陆页面

序号5: ：用户登陆页面输入用户名密码，提交请求

序号6: ：CAS Server 认证服务器接收用户名和密码，就行验证，验证逻辑CAS Server 已经实现，并响应给浏览器信息

这里的用户名，密码不需要关心，后续会讲到

图中1，2部分表示序号5 输入的用户名，密码，以及发出的请求。当认证服务器验证通过之后，根据请求参数service的值，进行重定向，其实就是回到了请求的客户端，同时会携带一个ticket令牌参数。同时会在Cookie中设置一个TGC，该cookie是网站认证系统cas.xiaogui.com的cookie，只有访问这个网站才会携带这个cookie过去。

*****注意：这个携带TGC的Cookie是实现CAS单点登录的关键所在！

Cookie中的TGC：向cookie中添加该值的目的是当下次访问cas.xiaogui.com认证系统时，浏览器将Cookie中的TGC携带到服务器，服务器根据这个TGC，查找与之对应的TGT。从而判断用户是否登录过了，是否需要展示登录页面。TGT与TGC的关系就像SESSION与Cookie中SESSIONID的关系。

TGT：Ticket Granted Ticket（俗称大令牌，或者说票根，他可以签发ST）

TGC：Ticket Granted Cookie（cookie中的value），存在Cookie中，根据他可以找到TGT。

ST：Service Ticket （小令牌），是TGT生成的，默认是用一次就生效了。也就是上面数字3处的ticket值。

序号7:  客户端拿到请求中的ticket信息，也就是图中1的位置

然后经过一个ticket过滤器，去认证系统CAS Server判断ticket是否有效

这个过滤器的主要工作就是校验客户端传过来的ticket是否有效

CAS Client 客户端  shopping.xiaogui.com  中web.xml的配置

序号8:  向CAS Server认证系统发出验证ticket的请求，也就是图中2的位置，然后执行ticket验证

序号9:  通过校验之后，把用户信息保存到客户端的session中，并把客户端的SessionID设置在Cookie中，同时告知客户端ticket有效。当用户再次访问该客户端，就可以根据Cookie 中的SessionID找到客户端的Session，获取用户信息，就不用再次进行验证了。也就是图中响应给浏览器的部分。

序号10:  shopping.xiaogui.com客户端接收到cas-server的返回，知道了用户已经登录，ticket有效，告知浏览器可以进行访问。

至此，用户第一次访问流程结束。

当用户第二次访问http://shopping.xiaogui.com

序号11: 当用户第二次访问，仍然会经过AuthenticationFilter过滤器，但与第一次访问不同的是此时客户端session中已经存在用户的信息，浏览器中的Cookie会根据SessionID找到Session，获取用户信息，所以不需要进行验证，可以直接访问。

序号12:  客户端告知浏览器可以进行访问。

当用户第一次访问http://pay.xiaogui.com

序号13:   用户向pay.xiaogui.com  CAS Client客户端发出请求

序号14:  ：pay.xiaogui.com接收到请求，发现第一次访问，于是给他一个重定向的地址，让他去找认证中心登录。

序号15: 浏览器根据上面响应的地址，发起重定向，因为之前访问过一次了，因此这次会携带上次返回的Cookie：TGC到认证中心。

序号16:  认证中心收到请求，发现TGC对应了一个TGT，于是用TGT签发一个ticket，并且返回给浏览器，让他重定向到pay.xiaogui.comCAS Client客户端。

序号17: 根据上面响应回来的地址，进行重定向到pay.xiaogui.comCAS Client客户端

序号18:  pay.xiaogui.comCAS Client客户端带着ticket去认证中心验证是否有效。

序号19:  认证成功，把用户信息保存到客户端的session中，并把客户端的SessionID设置在Cookie中。当用户下次访问pay.xiaogui.comCAS Client客户端，直接登录，无需验证。

序号20:  告知浏览器可以进行访问

CAS单点登录的原理分析大致就是上述的这些，至于CAS单点登录的具体实现，将在下篇博客中写道。

Ⅵ php的cms系统或者其他系统,后台配置项,是如何调用的

这些配置项一般都是写到一个专门的配置文件当中的，例如：

phpcms是将所有的配置文件放置到了configs目录当中，目录当中又写了database.php(数据库配置项)，system.php(系统配置项)等等

配置项在这些文件中直接写成了一个数组，使用的时候写一个获取配置项的函数get_config('database'),这样直接是把database.php给include进来了

更改配置项的时候是file_get_contents，然后匹配替换相关配置就好了。

/**
	*设置config文件
	*@param$config配属信息
	*@param$filename要配置的文件名称
	*/
	functionset_config($config,$filename="system"){
		$configfile=CACHE_PATH.'configs'.DIRECTORY_SEPARATOR.$filename.'.php';
		if(!is_writable($configfile))showmessage('Pleasechmod'.$configfile.'to0777!');
		$pattern=$replacement=array();
		foreach($configas$k=>$v){
			if(in_array($k,array('js_path','css_path','img_path','attachment_stat','admin_log','gzip','errorlog','phpsso','phpsso_appid','phpsso_api_url','phpsso_auth_key','phpsso_version','connect_enable','upload_url','sina_akey','sina_skey','snda_enable','snda_status','snda_akey','snda_skey','qq_akey','qq_skey','qq_appid','qq_appkey','qq_callback','admin_url'))){
				$v=trim($v);
				$configs[$k]=$v;
				$pattern[$k]="/'".$k."'s*=>s*([']?)[^']*([']?)(s*),/is";
		$replacement[$k]="'".$k."'=>${1}".$v."${2}${3},";					
			}
		}
		$str=file_get_contents($configfile);
		$str=preg_replace($pattern,$replacement,$str);
		returnpc_base::load_config('system','lock_ex')?file_put_contents($configfile,$str,LOCK_EX):file_put_contents($configfile,$str);		
	}

Ⅶ Metabase-BI系列04：cookie实现单点登录sso

​ Metabase 可以作为独立的BI平台，本身就有用户组和权限组。而且Metabase支持报表的分享和iframe嵌入的方式进行报表的呈现，我们可以通过这肆激种方式进行数据的呈现。

​ 我们需要登录Metabase系统进行报表创建和发布，如果业务平台有权限的用户想通过业务平台用户进入到Metabase里面，就需要进行单点登录，因为用户不可能登录两个平台用两个账户，当然如果用户能够接受，那就可以用两个账户了。

​ Metabase支持多种单点登录（sso）方式：

这里介绍通过cookie实现简单的单点登录

首先看一下Metabase里面的cookie， metabase.SESSION就是Metabase访问权限的令牌，path为“/”根目录下面，裂郑袜所以获取令牌，将把令牌塞到metabase.SESSION里就可以了。

Metabase doc API说明如下：

所以，我们需要调用/api/session/，传入用户和密码，获取令牌

直接访问Metabase的/api/session会存在跨域的问题

修改Metabase后台允许跨域，Metabase后台用的Ring框架控制跳转，我们引入开源的 ring-cors 框架，配置允许跨域的域和请求，配置Metabase的 handler.clj

对于cookie来说，不同域下的cookie不共享，必须在同个顶级域下设置cookie，所以这也是这种cookie实现单点比较受限制的问题。

对于统一域名不同端口的情况，直接将cookie放到path根目录“/”即可，因为域是相同的

对于不同的二级域名的情况丛键，放到顶级域名下即可

如：aa.test.com和bb.test.com

关于cookie的介绍，推荐文章： https://www.cnblogs.com/hujunzheng/p/5744755.html

blog连接： https://mplingbao.github.io/2019/11/29/metabase-bi-cookie/

Ⅷ SAML和OAuth2这两种SSO协议的区别

SSO是单点登录的简称，常用的SSO的协议有两种，分别是SAML和OAuth2。本文将会介绍两种协议的不同之处，从而让读者对这两种协议有更加深入的理解。

SAML的全称是Security Assertion Markup Language， 是由OASIS制定的一套基于XML格式的开放标准，用在身份提供者（IdP）和服务提供者 (SP)之间交换身份验证和授权数据。

SAML的一个非常重要的应用就是基于Web的单点登录（SSO）。

在SAML协议中定义了三个角色，分别是principal：代表主体通常表示人类用户。identity provider (IdP)身份提供者和service provider (SP)服务提供者。

IdP的作用就是进行身份认证，并且将用户的认证信息和授权信息传递给服务提供者。

SP的作用就是进行用户认证信息的验证，并且授权用户访问指定的资源信息。

接下来，我们通过一个用SAML进行SSO认证的流程图，来分析一下SAML是怎么工作的。

上图中User Agent就是web浏览器闷睁敏，我们看一下如果用户想请求Service Provider的资源的时候，SAML协议是怎么处理的。

SP将会对该资源进行相应的安全检查，如果发现已经有一个有效的安全上下文的话，SP将会跳过2-7步，直接进入第8步。

RelayState是SP维护的一个状态信息，主要用来防止CSRF攻击。

其中这个SAMLRequest是用Base64编码的<samlp:AuthnRequest>，下面是一个samlp:AuthnRequest的例子：

为了安全起见，SAMLRequest还可以使用SP提供的签名key来进行签名。

IdP收到这个AuthnRequest请求之后，将会进行安全验证，如果是合法的AuthnRequest，那么将会展示登录界面。

这个form中包含了SAMLResponse信息，SAMLResponse中包含了用户相关的信息。

同样的SAMLResponse也是使用Base64进行编码过的<samlp:Response>。

我们可以看到samlp:Response中包含有saml:Assertion信息。

我们可以看到上面的所有的信息交换都是由前端浏览器来完成的，在SP和IdP之间早让不存在直接的通信。

这种全部由前端来完成信息交换的方式好处就是协议流非常简单，所有的消息都是简单的GET或者POST请求。

如果蚂枝为了提高安全性，也可以使用引用消息。也就是说IdP返回的不是直接的SAML assertion，而是一个SAML assertion的引用。SP收到这个引用之后，可以从后台再去查询真实的SAML assertion，从而提高了安全性。

SAML协议是2005年制定的，在制定协议的时候基本上是针对于web应用程序来说的，但是那时候的web应用程序还是比较简单的，更别提对App的支持。

SAML需要通过HTTP Redect和HTTP POST协议来传递用户信息，并且通常是通过HTML FORM的格式来进行数据的提交的。如果应用程序并不是web应用，比如说是一个手机App应用。

这个手机APP应用的启动链接是 my-photos://authenticate ， 但是手机app可能并不能获取到Http POST的body内容。他们只能够通过URL来进行参数的传递。

这就意味着，在手机APP中不能够使用SAML。

当然，要想工作也可以，不过需要进行一些改造。比如通过第三方应用对POST消息进行解析，然后将解析出来的SAMLRequest以URL参数的形式传递给APP。

另一种方法就是使用OAuth2.

因为Oauth2是在2012年才产生的。所以并没有那么多的使用限制。我们可以在不同的场合中使用OAuth2。

我们先来看一下OAuth2中授权的流程图：

一般来说OAuth2中有4个角色。

resource owner： 代表的是资源的所有者，可以通过提供用户名密码或者其他方式来进行授权。通常来是一个人。

resource server：代表的是最终需要访问到资源的服务器。比如github授权之后获取到的用户信息。

client： 用来替代resource owner来进行交互的客户端。

authorization server： 用来进行授权的服务器，可以生成相应的Access Token。

整个流程是这样的：

Client向resource owner发起一个授权请求，resource owner输入相应的认证信息，将authorization grant返回给client。

client再将获取到的authorization grant请求授权服务器，并返回access token。

client然后就可以拿着这个access token去请求resource server，最后获取到受限资源。

OAuth2并没有指定Resource Server怎么和Authorization Server进行交互。也没有规定返回用户信息的内容和格式。这些都需要实现方自己去决定。

OAuth2默认是在HTTPS环境下工作的，所以并没有约定信息的加密方式。我们需要自己去实现。

最后，OAuth2是一个授权协议，而不是认证协议。对于这个问题，其实我们可以考虑使用OpenID Connect协议。因为OpenID Connect就是基于OAuth2实现的，并且添加了认证协议。

OpenID Connect简称为OIDC，已成为Internet上单点登录和身份管理的通用标准。 它在OAuth2上构建了一个身份层，是一个基于OAuth2协议的身份认证标准协议。

OAuth2实际上只做了授权，而OpenID Connect在授权的基础上又加上了认证。

OIDC的优点是：简单的基于JSON的身份令牌（JWT），并且完全兼容OAuth2协议。

在SAML协议中，SAML token中已经包含了用户身份信息，但是在OAuth2，在拿到token之后，需要额外再做一次对该token的校验。

但是另一方面，OAuth2因为需要再做一次认证，所以可以在 Authorization Server 端对token进行无效处理。

做过SSO的应该都听说过CAS。CAS的全称是Central Authentication Service，是一个企业级的开源的SSO认证框架。

CAS内部集成了CAS1,2,3，SAML1,2，OAuth2,OpenID和OpenID Connect协议，非常的强大。我们会在后面的文章中介绍CAS的使用。

Ⅸ phpcms v9 前台修改头像没反应

用户头像没存在表里，直接存在框架里，在member表里有个字段伏迟“avatar”，就是有没有头像的标志位，根据这个散厅逗冲卖判断用户有没有头像，有的话直接去phpcms/phpsso_server/uploadfile/avatar路径下的相应id中取头像，这个路径是和每个用户的级别以及id对应的。 希望对你有所帮助！

Ⅹ 服务器装什么软件 phpcms注入漏洞

本文利用了PHPCMS V9的两个漏洞，一个是读取任意文件漏洞，另一个是模版运行php脚本漏洞。使用到的工具：Navicat for Mysql/IE浏览器(建议使用代理)/湛蓝v9代码包（包含文中使用到的所有文件、代码和木马）

1、放置data.txt以备在目标站点读取并在目标站点生成PHP木马脚本使用。

例如将data.txt放置在yun..com/j0192/data.txt

2、通过v9漏洞获取配置信息（请参阅：phpcms V9最新读取站点任意文件漏洞http://skyhome.cn/phpcms/176.html）。

/index.php?m=search&c=index&a=public_get_suggest_keyword&url=asdf&q=../../phpsso_server/caches/configs/database.php

3、通过v9系统漏洞获取到的数据库信息远程登陆目标站点数据库，在v9_admin和v9_sso_admin表中添加账号

username字段：admn
password字段：
encrypt 字段：bGV22e
issuper 字段: 1

4、通过数据库添加管理员账号后使用以下用户名密码在后台登陆，然后修改当前用户密码。

用户名：admn
密码：123456

5、ctrl+a复制write.php全部内容粘贴进v9默认模版下的footer.html保存，然后点击footer.html的可视化运行该模版中的脚本，到此时就完成在目标站点生成木马脚本。

6、打开ifeng.com/caches/caches_template/default/wap/data.class.php

用户名：admin
密码：admin

7、隐藏新增加的管理员。

通过木马脚本上传替换/phpcms/moles/admin/admin_manage.php(默认匹配%admn%)，然后登陆目标站点后台查看管理员列表是否还有用户名为admn的超级管理员，如果没有则表明我们完成了新加管理员的隐藏。

8、隐藏新增加的关联链接

通过木马脚本上传替换/phpcms/moles/admin/keylink.php((默认匹配%skyhome%))

9、将目标网站的漏洞修复，以防其他黑客入侵。

通过木马脚本上传替换/phpcms/moles/search/index.php

防黑参考:

1、关闭数据库远程访问。
2、静态文件及附件等文件目录禁止执行权限。
3、脚本文件目录禁止写权限。
4、系统后台等重要目录限制IP访问。
5、及时关注开源系统官方补丁升级和乌云、sebug等漏洞发布平台，修复系统漏洞。