Casdoor 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
Casdoor 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
Casdoor 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
授权协议 Apache-2.0
开发语言 Google Go JavaScript
操作系统 跨平台
软件类型 开源软件
开源组织
地区 国产
投 递 者 罗杨博士
适用人群 未知
收录时间 2021-09-26

软件简介

Casdoor 是一个基于 OAuth 2.0 / OIDC 的 UI 优先集中认证 / 单点登录 (SSO) 平台,简单点说,就是 Casdoor 可以帮你解决 用户管理 的难题,你无需开发用户登录注册等与用户鉴权相关的一系列功能,只需几个步骤,简单配置,与你的主应用配合,便可完全托管你的用户模块,简单省心,功能强大。

仓库地址: https://github.com/casbin/casdoor

演示地址: https://door.casbin.com/

官网文档: https://casdoor.org/

Casdoor 目前作为 Casbin 社区项目统一使用的鉴权平台,项目已开源,希望得到大家的一些建议和 Star~,我们会及时跟进反馈并改正问题哒。

为什么要用 Casdoor ?

用户管理一直是项目中非常令人头疼的一个问题,不仅要确保安全性,功能是否完整,方便使用也十分重要。目前大多数应用已从过去单一的账号密码登录,逐渐升级为允许通过第三方平台登录,例如 GitHub 、微信、QQ 等。但是这一套逻辑依然需要开发者去实现,大多数功能偏离了业务。

Casdoor 就是替开发者们解决这个难题,即 提供一套统一的鉴权平台,只需要简单配置便可完全托管用户模块

使用的理由也非常简单,总结概括为三句话:

  • 功能完备,操作简单。作为一个需要完全托管用户模块的项目,功能完备必不可少,Casdoor 支持常见用户模块所需要的各种功能。并且配置简单,上手难度低。
  • 开源可控,社区活跃。能否快速得到社区的反馈,解决实际应用中出现的问题也十分重要,否则出了 Bug 没人管岂不是尴尬? Casdoor 有自己的讨论社区 Casnode,也有 QQ 群,均可及时活跃地解决实际应用中的问题。
  • 性能强大,耦合良好。采用 Golang 开发,并发性支持良好,并且内部模块耦合度低,代码易懂,热插拔性好。

Casdoor 又有哪些特性?

  • 支持普通的账户密码注册登录,也支持各种常见的第三方认证,例如 GitHub 、Facebook 、Google 、Wechat 、QQ 、LinkedIn 等等,截止目前共 9 个平台,并在不断听取用户建议对更多的平台提供支持。
  • 管理方便。Casdoor 内部将模块分为了 5 大类,Organization 、User 、Application 、Token 和 Provider 。可以同时接入多个组织,组织下有不同应用,用户可以通过应用或组织分类,单独管理任何组织、应用或用户的 Token 令牌,轻松管理复杂系统,目前已部署在 Casbin 社区各种系统当作鉴权平台。
  • 自定义程度高。Casdoor 可以随意修改登录方式,例如是否允许密码或第三方登录,自定义应用的注册项数量,是否启用两步验证,以及是否允许各个 Provider 登录、注册等等,高度可插拔。
  • 具备 Swagger API 文档。清晰的 API 介绍,无需阅读源代码即可直接方便调用各个 API 接口,提供定制化功能。
  • 前后端分离架构,部署简单。作为统一认证平台,除了性能,稳定性,新特性之外,易用性也是考量的重要标准,Casdoor 后端使用 Golang 语言开发,前端使用 React.js 框架,使用者只需启动后端服务,并将前端工程文件打包,即可直接使用,操作简单,上手难度低。
  • ...

总结

我们希望 Casdoor 能帮助广大开发者们解决用户管理的难题,更专注主要业务,提高开发效率。

同时作为一个开源项目,我们也非常希望获得大家的使用建议,帮助我们更好地改善项目质量,从功能、易用性等方面更好地满足大家的需求。

展开阅读全文

代码

的 Gitee 指数为
超过 的项目

评论

点击加入讨论🔥(5) 发布并加入讨论🔥
暂无内容
发表了博客
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
发表了问答
{{o.pubDate | formatDate}}

{{formatAllHtml(o.title)}}

{{parseInt(o.replyCount) | bigNumberTransform}}
{{parseInt(o.viewCount) | bigNumberTransform}}
没有更多内容
暂无内容
nth-check 正则表达式拒绝服务漏洞
ReDoS
由于 \s*(?:([+-]?) 在RE_NTH_ELEMENT中,具有量化的重叠邻接。在解析恶意的无效CSS nth检查时,此软件包的受影响版本容易受到常规表达式拒绝服务(ReDoS)的影响。
CVE-2021-3803 MPS-2021-31847
2023-12-20 19:55
node-semver 安全漏洞
ReDoS
npm node-semver是美国npm公司的一个库。 node-semver 7.5.2之前版本存在安全漏洞,该漏洞源于容易受到正则表达式拒绝服务(ReDoS)的攻击。
CVE-2022-25883 MPS-2022-5166
2023-12-20 19:55
ejs 存在服务端模板注入漏洞
注入
【漏洞存在争议】 EJS 是开源的 JavaScript 模板引擎,允许在HTML代码中使用JavaScript代码块,closeDelimiter 参数是 EJS 模板中的结束标记,用于指定结束分隔符。 由于对 CVE-2022-29078 漏洞修复不完全,当应用程序使用 EJS 模板引擎,并且未对用户传入的变量进行转义或过滤时,攻击者可以在 closeDelimiter 参数中注入任意的JavaScript代码,从而在服务器上执行恶意系统命令、读取和修改敏感文件等操作。 注意:供应商对此有异议,因为渲染函数不打算与不受信任的输入一起使用。
CVE-2023-29827 MPS-2023-10199
2023-12-20 19:55
word-wrap 安全漏洞
ReDoS
由于结果变量中使用了不安全的正则表达式,word-wrap包的所有版本都存在正则表达式拒绝服务(ReDoS)漏洞。攻击者可以利用此漏洞通过构造恶意输入来导致正则表达式匹配超时,进而导致系统拒绝服务。建议升级到修复版本以修补此漏洞。
CVE-2023-26115 MPS-2023-5109
2023-12-20 19:55
tough-cookie 安全漏洞
原型污染
tough-cookie是Salesforce开源的一个库。 tough-cookie 4.1.3之前版本存在安全漏洞,该漏洞源于在rejectPublicSuffixes=false模式下使用CookieJar时对Cookie的处理不当,可能导致原型污染漏洞。
CVE-2023-26136 MPS-2023-5130
2023-12-20 19:55
CryptoES 安全漏洞
使用具有不充分计算复杂性的口令哈希
CryptoES是一个与ES6和TypeScript兼容的密码算法库。在2.1.0版本之前,CryptoES PBKDF2比1993年的初始规定要弱1000倍,且比当前行业标准弱至少1,300,000倍。这是因为它默认使用SHA1,一个在2005年之前就被认为是不安全的哈希算法,并且默认只使用一次迭代,而1993年的规定中指定了1000次迭代。PBKDF2依赖于迭代次数作为对抗原像和碰撞攻击的一种措施。如果用于密码保护,影响很大。如果用于生成签名,影响很大。版本2.1.0对此问题进行了修补。作为解决方法,可以配置CryptoES使用至少250,000次迭代的SHA256。
CVE-2023-46133 MPS-317x-ic09
2023-12-20 19:55
Babel 插件任意代码执行漏洞漏洞【Poc公开】
不完整的黑名单
Babel 是开源的 JavaScript 编译器。 当使用依赖 path.evaluate() 或 path.evaluateTruthy()方法的插件编译攻击者可控的代码时将会执行恶意代码,以下插件受影响: 1. @babel/plugin-transform-runtime 2. @babel/preset-env(当使用 useBuiltIns 选项时) 3. 任何依赖于 @babel/helper-define-polyfill-provider 的 polyfill provider 插件,包括: babel-plugin-polyfill-corejs3、babel-plugin-polyfill-corejs2、babel-plugin-polyfill-es-shims、babel-plugin-polyfill-regenerator、babel-plugin-polyfill-custom @babel/下的其他插件不受影响, 但可能存在受影响的第三方插件。
CVE-2023-45133 MPS-avb9-j50z
2023-12-20 19:55
Google Golang 资源管理错误漏洞
拒绝服务
恶意的HTTP/2客户端可以通过快速创建并立即重置请求来导致服务器资源消耗过度。虽然总请求数受http2.Server.MaxConcurrentStreams设置的限制,但重置正在进行中的请求允许攻击者在现有请求仍在执行时创建新的请求。修复后,HTTP/2服务器现在将同时执行处理程序协程的数量限制为流并发限制(MaxConcurrentStreams)。当到达限制时(这只能在客户端重置现有的在飞行请求后发生),新的请求将排队等待处理程序退出。如果请求队列过大,服务器将终止连接。该问题还在手动配置HTTP/2的golang.org/x/net/http2中得到了解决。默认的流并发限制是每个HTTP/2连接250个流(请求)。可以使用golang.org/x/net/http2包进行调整;请参阅Server.MaxConcurrentStreams设置和ConfigureServer函数。
CVE-2023-39325 MPS-c8am-hbny
2023-12-20 19:55
tough-cookie<4.1.3 存在原型污染漏洞
原型污染
tough-cookie 是一个用于处理 HTTP cookie 的 JavaScript 库。 受影响版本中的 rejectPublicSuffixes=false 模式下使用 CookieJar 存在原型污染漏洞,攻击者可修改 Domain=__proto__; 原型属性执行恶意代码。 用户可通过在 Map 中存储 cookie 或使用 this.idx = Object.create(null) 创建 idx 变量缓解此漏洞。
MPS-esyq-56vx
2023-12-20 19:55
PostCSS 安全漏洞
注入
在PostCSS 8.4.31版本之前发现了一个问题。该漏洞会影响使用PostCSS解析外部不受信任的CSS的linter。攻击者可以通过特殊的方式准备CSS,使其包含被PostCSS解析为CSS注释的部分。在经过PostCSS处理后,即使包含在注释中,它也会以CSS节点(规则、属性)的形式出现在PostCSS输出中。
CVE-2023-44270 MPS-y3tx-jzms
2023-12-20 19:55
没有更多内容
加载失败,请刷新页面
点击加载更多
加载中
下一页
5 评论
16 收藏
分享
OSCHINA
登录后可查看更多优质内容
返回顶部
顶部