(转)基于CAS实现单点登陆(SSO):cas client端的退出问题

时间  2019-11-30
标签 基于 cas 实现 单点 登陆 sso client 端的 退出 问题 栏目 软件设计 繁體版
原文   原文链接

出处:http://blog.csdn.net/tch918/article/details/22276627java

自从CAS 3.4很好的支持了单点注销功能,配置也很简单。web

以前版本由于在CAS服务器经过HttpClient发送消息时并未指定为POST方式,因此在CAS客户端的注销Filter中没有收到POST请求(要知道Filter只对Post请求起做用),也就没有作session销毁处理。spring

 

两个业务系统APP1和APP2浏览器

在没有配置单点退出时,效果是这样子的服务器

1:登陆APP1,而后通过CAS认证后进入APP1,再访问APP2无须要认证cookie

2:在APP1中链接到cas的logout地址,现象注销成功界面,而后再访问APP1,仍是能够进去的,由于APP1将用户的登陆票据存入了session。session

 

那么实现了单点退出后的效果应该是这样子的:app

1:登陆APP1,而后通过CAS认证后进入APP1,再访问APP2无须要认证this

2:用户在APP1或者APP2点击注销,显示CAS的注销成功页面,而后再访问APP1或者APP2都须要再次认证。url

 

具体配置为,在APP1和APP2的web.xml文件中增长:

<listener>    
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>    
</listener>    
        
 <filter>    
       <filter-name>CAS Single Sign Out Filter</filter-name>    
       <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>    
  </filter>    
<filter-mapping>    
    <filter-name>CAS Single Sign Out Filter</filter-name>    
    <url-pattern>/*</url-pattern>    
 </filter-mapping>

 

 

注销的Filter要在其它Filter以前,界面的注销链接到CAS的logout地址,如http://localhost:8080/cas/logout

 

SingleSignOutFilter,主要是在有ticket参数的时候,将session放到sessionMappingStorage,若是参数中存在logoutRequest,则注销session,那何时去注销sessionMappingStorage的东西呢?这是靠SingleSignOutHttpSessionListener来实现的,当有session被销毁的时候,触发将sessionMappingStorage中对应sessionid中的数据删除。

因此在配置单点登出的时候,必定要配置这个监听器,不然客户端很容易致使内存溢出的。让咱们先来看看SingleSignOutFilter的总体逻辑。

那么这个是在何时会触发呢,这个是在你登录的任意客户端,调用https://localhost:8080/logout这个取得cookie里面的TGT数据,找到TGT中关联的全部ST对应的地址(即多个cas client,向每一个地址方式一个http请求,并传递logoutRequest参数。

来看看源代码是怎么实现的:

public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException {    
      // 转换参数    
    final HttpServletRequest request = (HttpServletRequest) servletRequest;    
    //判断参数中是否具备artifactParameterName属性指定的参数名称,默认是ticket    
      if (handler.isTokenRequest(request)) {    
        // 若是存在,在本地sessionMappingStorage中记录session。    
          handler.recordSession(request);     
      } else if (handler.isLogoutRequest(request)) {//判断是否具备logoutParameterName参数指定的参数,默认参数名称为logoutRequest    
        // 若是存在,则在sessionMappingStorage中删除记录,并注销session。    
        handler.destroySession(request);    
          // 注销session后,马上中止执行后面的过滤器    
          return;    
      } else {    
          log.trace("Ignoring URI " + request.getRequestURI());    
      }    
      //条件都不知足,继续执行下面的过滤器    
      filterChain.doFilter(servletRequest, servletResponse);    
  }    
    protected ModelAndView handleRequestInternal(
        final HttpServletRequest request, final HttpServletResponse response)
        throws Exception {
        final String ticketGrantingTicketId = this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request);
        final String service = request.getParameter("service");

        if (ticketGrantingTicketId != null) {
            this.centralAuthenticationService
                .destroyTicketGrantingTicket(ticketGrantingTicketId);

            this.ticketGrantingTicketCookieGenerator.removeCookie(response);
            this.warnCookieGenerator.removeCookie(response);
        }

        if (this.followServiceRedirects && service != null) {
            return new ModelAndView(new RedirectView(service));
        }

        return new ModelAndView(this.logoutView);
    }

 

若是直接访问CAS的logout话,会出现注销成功页面,其实大部分状况下这个页面是没有必要的,更多的需求多是退出后显示登陆页面,而且登陆成功后仍是会进入到以前的业务系统,

当this.followServiceRedirects && service != null时才会跳转到本身指定的view,service应该都比较熟悉了,它是客户传的参数,

指定cas中心转向哪里,但咱们仅仅传service 仍是不行的,还须要把followServiceRedirects属性设为true,下面看看如何修改这个属性

那么能够修改cas-servlet.xml文件,在"logoutController"的bean配置中增长属性“followServiceRedirects”,设置为“true”,而后在业务系统的注销链接中加入"service参数",值为业务系统的绝对URL,这样就OK了,如你的业务系统URL为:http://localhost:8080/casClient,那么注销URL就为:http://localhost:8080/cas/logout?service=http://localhost:8080/casClient

 

若是出现这种现象:访问过http://localhost:8080/cas/logout以后不关浏览器,仍是能访问个人应用

可能由于:

1:你的CAS服务器将cookie设置成了浏览器有效,那么表示若是浏览器不关闭,则一直有效。

在WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml中设置cookie有效期,默认配置cookie有效期为-1

 

2:你的应用中注销的filter-mapping没有放在全部mapping以前

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程