CAS-登出配置

时间 2019-11-25

标签 cas 登出配置繁體版

原文原文链接

该图java

当一个web 浏览器登陆到应用服务器时，应用服务器(application)会监测用户的session，若是没有session，则应用服务器会把url跳转到CAS server上。要求web

用户登陆，用户登陆成功，CAS server会记住请求的application的url和该用户的sessionId(在应用服务器跳转到Url时，经过出参数传给CAS server).此时在CAS服务器会种下TGC Cookie值到web browser ，拥有该TGC Cookie的web browser 能够无需登陆进入全部创建sso服务的应用服务器application浏览器

第二张图中，当一个web浏览器要求退出应用服务器，应用服务器application会把url跳转到CAS server上的/cas/logout url资源上。服务器

CAS server接受到请求后，会检测用户的TGC cookie，把对应的session清除，同时会找到全部经过该TGC sso登陆的应用服务器URL提交请求，全部的回调请求中包含一个参数 logoutRequest。cookie

<samlp:LogoutRequest ID="[RANDOM ID]" Version="2.0" IssueInstant="[CURRENT DATE/TIME]">
<saml:NameID>@NOT_USED@</saml:NameID>
<samlp:SessionIndex>[SESSION IDENTIFIER]</samlp:SessionIndex>
</samlp:LogoutRequest>

　　全部收到请求的应用服务器application会解析这个参数，获取sessionId，根据这个ID获取session后，把session 删除。这样就实现了单点登出功能。session

首先，要实现single sign out，在应用服务器application端的web.xml要加入如下配置app

<filter>
   <filter-name>CAS Single Sign Out Filter</filter-name>
   <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
   <filter-name>CAS Single Sign Out Filter</filter-name>
   <url-pattern>/*</url-pattern>
</filter-mapping>
<listener>
    <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>

　　注意：若是有配置CAS client Filter，则CAS Signle Sign out Filter 必须放在CAS client Filter以前url

配置部分的目的是在CAS server回调全部的application 进行单点登出操做的时候，须要这个Filter来实现session 清除。

singleSignOutFilter，主要是在有ticket参数的时候，将session放到sessionMappingStorage，若是参数中存在logoutRequest，则注销session。

何时注销sessionMappingStorage呢，这是靠SingleSignOutHttpSessionListener来实现的，当有session被注销的时候，触发将sessionMappingStorage中对应的sessionId中的数据删除，因此在配置单点登出的时候，必定要配置这个监听器，不然客户端很容易致使内存溢出。

这个是什么何时触发的呢？

在登陆的客户端，调用 cas/logout,这个取得cookie里面的TGT数据，找到TGT中关联的全部ST对应的地址，向每一个地址发送一个HTTP请求，并传递logoutRequest参数

public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException {  
      // 转换参数  
    final HttpServletRequest request = (HttpServletRequest) servletRequest;  
    //判断参数中是否具备artifactParameterName属性指定的参数名称，默认是ticket  
      if (handler.isTokenRequest(request)) {  
        // 若是存在，在本地sessionMappingStorage中记录session。  
          handler.recordSession(request);   
      } else if (handler.isLogoutRequest(request)) {//判断是否具备logoutParameterName参数指定的参数，默认参数名称为logoutRequest  
        // 若是存在，则在sessionMappingStorage中删除记录，并注销session。  
        handler.destroySession(request);  
          // 注销session后，马上中止执行后面的过滤器  
          return;  
      } else {  
          log.trace("Ignoring URI " + request.getRequestURI());  
      }  
      //条件都不知足，继续执行下面的过滤器  
      filterChain.doFilter(servletRequest, servletResponse);  
  }

若是直接CAS的logout话，会出现注销成功页面，其实大部分状况下这个页面是没有必要的，更多的须要多是退出后显示登陆页面，而且登陆成功后仍是会进入到以前的业务系统，那么能够修改cas-servlet.xml
在logoutController的bean配置中添加属性"followServiceRedirects" 设置为true，而后在业务系统的注销链接中加入"service 参数"，值为业务系统的绝对URL。
如你的业务系统URL为http://a:8080/login 那么注销URL就是 http://localhost:8080/cas/logout?service=http://a:8080/login