基于CAS实现单点登陆（SSO）：cas client端的退出问题

从CAS 3.4就很好的支持了单点注销功能，配置也很简单。

以前版本由于在CAS服务器经过HttpClient发送消息时并未指定为POST方式，因此在CAS客户端的注销Filter中没有收到POST请求（要知道Filter只对Post请求起做用），也就没有作session销毁处理。

两个业务系统APP1和APP2

在没有配置单点退出时，效果是这样子的

1：登陆APP1，而后通过CAS认证后进入APP1，再访问APP2无须要认证

2：在APP1中链接到cas的logout地址，现象注销成功界面，而后再访问APP1，仍是能够进去的，由于APP1将用户的登陆票据存入了session。

那么实现了单点退出后的效果应该是这样子的：

1：登陆APP1，而后通过CAS认证后进入APP1，再访问APP2无须要认证

2：用户在APP1或者APP2点击注销，显示CAS的注销成功页面，而后再访问APP1或者APP2都须要再次认证。

具体配置为，在APP1和APP2的web.xml文件中增长：

<listener>  
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>  
</listener>  
       
 <filter>  
       <filter-name>CAS Single Sign Out Filter</filter-name>  
       <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>  
  </filter>  
<filter-mapping>  
    <filter-name>CAS Single Sign Out Filter</filter-name>  
    <url-pattern>/*</url-pattern>  
 </filter-mapping>

注销的Filter要在其它Filter以前，界面的注销链接到CAS的logout地址，如http://localhost:8080/cas/logout

SingleSignOutFilter，主要是在有ticket参数的时候，将session放到sessionMappingStorage，若是参数中存在logoutRequest，则注销session，那何时去注销sessionMappingStorage的东西呢？这是靠SingleSignOutHttpSessionListener来实现的，当有session被销毁的时候，触发将sessionMappingStorage中对应sessionid中的数据删除。

因此在配置单点登出的时候，必定要配置这个监听器，不然客户端很容易致使内存溢出的。让咱们先来看看SingleSignOutFilter的总体逻辑。

那么这个是在何时会触发呢，这个是在你登录的任意客户端，调用https://localhost:8080/logout，这个取得cookie里面的TGT数据，找到TGT中关联的全部ST对应的地址（即多个cas client），向每一个地址方式一个http请求，并传递logoutRequest参数。

来看看源代码是怎么实现的：

public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException {  
      // 转换参数  
    final HttpServletRequest request = (HttpServletRequest) servletRequest;  
    //判断参数中是否具备artifactParameterName属性指定的参数名称，默认是ticket  
      if (handler.isTokenRequest(request)) {  
        // 若是存在，在本地sessionMappingStorage中记录session。  
          handler.recordSession(request);   
      } else if (handler.isLogoutRequest(request)) {//判断是否具备logoutParameterName参数指定的参数，默认参数名称为logoutRequest  
        // 若是存在，则在sessionMappingStorage中删除记录，并注销session。  
        handler.destroySession(request);  
          // 注销session后，马上中止执行后面的过滤器  
          return;  
      } else {  
          log.trace("Ignoring URI " + request.getRequestURI());  
      }  
      //条件都不知足，继续执行下面的过滤器  
      filterChain.doFilter(servletRequest, servletResponse);  
  }

若是直接访问CAS的logout话，会出现注销成功页面，其实大部分状况下这个页面是没有必要的，更多的需求多是退出后显示登陆页面，而且登陆成功后仍是会进入到以前的业务系统，那么能够修改cas-servlet.xml文件，在"logoutController"的bean配置中增长属性“followServiceRedirects”，设置为“true”，而后在业务系统的注销链接中加入"service参数",值为业务系统的绝对URL，这样就OK了，如你的业务系统URL为：http://localhost:8080/casClient，那么注销URL就为：http://localhost:8080/cas/logout?service=http://localhost:8080/casClient

若是出现这种现象：访问过http://localhost:8080/cas/logout以后不关浏览器，仍是能访问个人应用

可能由于：

1：你的CAS服务器将cookie设置成了浏览器有效，那么表示若是浏览器不关闭，则一直有效。

在WEB-INF/spring-configuration/ticketGrantingTicketCookieGenerator.xml中设置cookie有效期，默认配置cookie有效期为-1

2：你的应用中注销的filter-mapping没有放在全部mapping以前