文档章节

基于CAS实现单点登录(SSO):cas client端的退出问题

kongjun
 kongjun
发布于 2016/02/18 14:34
字数 1019
阅读 831
收藏 5

从CAS 3.4就很好的支持了单点注销功能,配置也很简单。

之前版本因为在CAS服务器通过HttpClient发送消息时并未指定为POST方式,所以在CAS客户端的注销Filter中没有收到POST请求(要知道Filter只对Post请求起作用),也就没有做session销毁处理。

两个业务系统APP1和APP2

在没有配置单点退出时,效果是这样子的

1:登录APP1,然后经过CAS认证后进入APP1,再访问APP2无需要认证

2:在APP1中连接到cas的logout地址,现象注销成功界面,然后再访问APP1,还是可以进去的,因为APP1将用户的登录票据存入了session。

那么实现了单点退出后的效果应该是这样子的:

1:登录APP1,然后经过CAS认证后进入APP1,再访问APP2无需要认证

2:用户在APP1或者APP2点击注销,显示CAS的注销成功页面,然后再访问APP1或者APP2都需要再次认证。

具体配置为,在APP1和APP2的web.xml文件中增加:

<listener>  
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
</listener>  
       
 <filter>  
       <filter-name>CAS Single Sign Out Filter</filter-name>  
       <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
  </filter>  
<filter-mapping>  
    <filter-name>CAS Single Sign Out Filter</filter-name>  
    <url-pattern>/*</url-pattern>  
 </filter-mapping>

注销的Filter要在其它Filter之前,界面的注销连接到CAS的logout地址,如http://localhost:8080/cas/logout

SingleSignOutFilter,主要是在有ticket参数的时候,将session放到sessionMappingStorage,如果参数中存在logoutRequest,则注销session,那什么时候去注销sessionMappingStorage的东西呢?这是靠SingleSignOutHttpSessionListener来实现的,当有session被销毁的时候,触发将sessionMappingStorage中对应sessionid中的数据删除。

所以在配置单点登出的时候,一定要配置这个监听器,否则客户端很容易导致内存溢出的。让我们先来看看SingleSignOutFilter的整体逻辑。

那么这个是在什么时候会触发呢,这个是在你登陆的任意客户端,调用https://localhost:8080/logout,这个取得cookie里面的TGT数据,找到TGT中关联的所有ST对应的地址(即多个cas client),向每个地址方式一个http请求,并传递logoutRequest参数。

来看看源代码是怎么实现的:

public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException {  
      // 转换参数  
    final HttpServletRequest request = (HttpServletRequest) servletRequest;  
    //判断参数中是否具有artifactParameterName属性指定的参数名称,默认是ticket  
      if (handler.isTokenRequest(request)) {  
        // 如果存在,在本地sessionMappingStorage中记录session。  
          handler.recordSession(request);   
      } else if (handler.isLogoutRequest(request)) {//判断是否具有logoutParameterName参数指定的参数,默认参数名称为logoutRequest  
        // 如果存在,则在sessionMappingStorage中删除记录,并注销session。  
        handler.destroySession(request);  
          // 注销session后,立刻停止执行后面的过滤器  
          return;  
      } else {  
          log.trace("Ignoring URI " + request.getRequestURI());  
      }  
      //条件都不满足,继续执行下面的过滤器  
      filterChain.doFilter(servletRequest, servletResponse);  
  }

如果直接访问CAS的logout话,会出现注销成功页面,其实大部分情况下这个页面是没有必要的,更多的需求可能是退出后显示登录页面,并且登录成功后还是会进入到之前的业务系统,那么可以修改cas-servlet.xml文件,在"logoutController"的bean配置中增加属性“followServiceRedirects”,设置为“true”,然后在业务系统的注销连接中加入"service参数",值为业务系统的绝对URL,这样就OK了,如你的业务系统URL为:http://localhost:8080/casClient,那么注销URL就为:http://localhost:8080/cas/logout?service=http://localhost:8080/casClient

如果出现这种现象:访问过http://localhost:8080/cas/logout之后不关浏览器,还是能访问我的应用

可能因为:

1:你的CAS服务器将cookie设置成了浏览器有效,那么表示如果浏览器不关闭,则一直有效。

在WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml中设置cookie有效期,默认配置cookie有效期为-1

2:你的应用中注销的filter-mapping没有放在所有mapping之前

© 著作权归作者所有

kongjun
粉丝 8
博文 98
码字总数 40811
作品 0
杭州
程序员
私信 提问
加载中

评论(1)

jasonkavay
jasonkavay
非常不错!博主,我们做了一个帮助博主推广博客的app叫同行说,只需复制文章链接即可发布给更多程序员们看到哦,欢迎体验哈,一起发扬分享精神~
单点登录研究

作者:近乎团队 1 单点登录起因和概念 现代企业一般拥有多套业务系统,传统方式下,各业务系统分别维护用户的帐号密码,拥有各自独立的用户信息,这就导致了以下问题: • 用户使用不便:需要...

小近
2014/11/04
774
0
SSO CAS+Shiro+springmvc单点登录解决方案

第一节:单点登录简介 第一步:了解单点登录 SSO主要特点是: SSO应用之间使用Web协议(如HTTPS) ,并且只有一个登录入口. SSO的体系中有下面三种角色: 1) User(多个) 2) Web应用(多个) 3) SS...

HI曲奇饼干
2016/09/08
1K
1
JEESZ分布式框架--单点登录集成方案

JEESZ分布式框架单点登录集成方案 第一节:单点登录简介 第一步:了解单点登录 SSO主要特点是: SSO应用之间使用Web协议(如HTTPS) ,并且只有一个登录入口. SSO的体系中有下面三种角色: 1) Us...

qq59225f73c290b
2017/05/22
0
0
JEESZ分布式框架--单点登录集成方案

JEESZ分布式框架单点登录集成方案 第一节:单点登录简介 第一步:了解单点登录 SSO主要特点是: SSO应用之间使用Web协议(如HTTPS) ,并且只有一个登录入口. SSO的体系中有下面三种角色: 1) Us...

qq59140ea121ae2
2017/05/12
0
0
新境界开源/jeexjj_sso

JEEXJJ_SSO单点登陆系统 JEEXJJ_SSO借鉴CAS基于SSM快速开发框架JEEXJJ的一款单点登陆服务实现。可以帮助企业快速搭建单点登陆服务,使用户一次登陆就可以畅游于各互相信任的信息系统。 JEEX...

新境界开源
2018/11/06
0
0

没有更多内容

加载失败,请刷新页面

加载更多

GitOps 初探

前言 GitOps 的概念最初来源于 Weaveworks 的联合创始人 Alexis 在 2017 年 8 月发表的一篇博客 GitOps - Operations by Pull Request。文章介绍了 Weaveworks 的工程师如何以 Git 作为事实的...

阿里云云栖社区
23分钟前
0
0
keytool生成密钥

生成JKS Java KeyStore文件 我们首先使用命令行工具keytool生成密钥 - 更具体地说.jks文件: keytool -genkeypair -alias mytest -keyalg RSA ...

Canaan_
25分钟前
1
0
【从入门到放弃-Java】并发编程-NIO使用

前言 上文【从入门到放弃-SpringBoot】SpringBoot源码分析-请求过程中我们了解到,tomcat接收、返回请求的过程都是基于NIO实现的。日常工作中有很多基于NIO的使用,我们知道NIO可以提高系统的...

阿里云官方博客
26分钟前
2
0
mysql 如何删除数据库中所有的表

SELECT concat('DROP TABLE IF EXISTS ', table_name, ';') FROM information_schema.tables WHERE table_schema = 'mydb'; mydb换成你想删除的数据库的名字......

RobertZhou
27分钟前
2
0
pytorch各种版本下载

链接地址:https://pytorch.org/get-started/previous-versions/

云烟成雨forever
27分钟前
0
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部