cas4.0服务端集群

最新推荐文章于 2021-07-30 10:48:48 发布
最新推荐文章于 2021-07-30 10:48:48 发布
阅读量3k 收藏 1
点赞数
分类专栏: cas 文章标签: 集群 redis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jin5203344/article/details/52277150
版权

cas服务端集群,相信网上资料也蛮多的,无非就是session共享,ticket共享


关于session共享 上一篇tomcat redis session manager已经给出了具体的解决方案,这里主要说一下ticket共享问题
首先定义自己的ticketRegistory 如下 

public class RedisTicketRegistry extends AbstractDistributedTicketRegistry {

	private static final Logger logger = LoggerFactory.getLogger(RedisTicketRegistry.class);
	
	//st ticket 最大空闲时间
	private int stMaxFreeTime;
	//tgt ticket 最大空闲时间
	private int tgtMaxFreeTime;
	
	private RedisManager redisManager;
	
	/**
	 * 添加票据
	 * Description 
	 * @param ticket 
	 * @see org.jasig.cas.ticket.registry.TicketRegistry#addTicket(org.jasig.cas.ticket.Ticket)
	 */
	@Override
	public void addTicket(Ticket ticket) {
		// TODO Auto-generated method stub
		String key = ticket.getId();
		int seconds = 0; 
		if(ticket instanceof TicketGrantingTicket){
			seconds = this.getTgtMaxFreeTime();
		} else {
			seconds = this.getStMaxFreeTime();
		}
		logger.debug("---------------add Tikcet into redis-------------------  start");
		this.getRedisManager().set(SerializeUtils.serialize(key), SerializeUtils.serialize(ticket),seconds);
		logger.debug("---------------add Ticket into redis-------------------  end");
	}

	/**
	 * 删除票据
	 * Description 
	 * @param ticketId
	 * @return 
	 * @see org.jasig.cas.ticket.registry.TicketRegistry#deleteTicket(java.lang.String)
	 */
	@Override
	public boolean deleteTicket(String ticketId) {
		// TODO Auto-generated method stub
		if(ticketId==null){
			return false;
		}
		logger.debug("----------------delete Ticket from redis-------------- start");
		this.getRedisManager().del(SerializeUtils.serialize(ticketId));
		logger.debug("----------------delete Ticket from redis-------------- end");
		return true;
	}

	/**
	 * 获取票据
	 * Description 
	 * @param ticketId
	 * @return 
	 * @see org.jasig.cas.ticket.registry.TicketRegistry#getTicket(java.lang.String)
	 */
	@Override
	public Ticket getTicket(String ticketId) {
		// TODO Auto-generated method stub
		logger.debug("---------------get Ticket byte[] ---------------- start");
		byte []tempArr = this.getRedisManager().get(SerializeUtils.serialize(ticketId));
		Ticket ticket = null;
		if(tempArr!=null){
			logger.debug("--------------------deserialize to Ticket--------------- start");
			ticket = (Ticket) SerializeUtils.deserialize(tempArr);
		}
		logger.debug("-----------------get Tikcet -------------------- end");
		return ticket;
	}

	
	@Override
	public Collection
    
    
     
      getTickets() {
		// TODO Auto-generated method stub
		throw new UnsupportedOperationException("----------GetTickets not supported----------------"); 
	}

	@Override
	protected boolean needsCallback() {
		// TODO Auto-generated method stub
		return false;
	}

	/**
	 * 修改票据
	 * Description 
	 * @param ticket 
	 * @see org.jasig.cas.ticket.registry.AbstractDistributedTicketRegistry#updateTicket(org.jasig.cas.ticket.Ticket)
	 */
	@Override
	protected void updateTicket(Ticket ticket) {
		// TODO Auto-generated method stub
		this.addTicket(ticket);
	}


	public int getStMaxFreeTime() {
		return stMaxFreeTime;
	}

	public void setStMaxFreeTime(int stMaxFreeTime) {
		this.stMaxFreeTime = stMaxFreeTime;
	}

	public int getTgtMaxFreeTime() {
		return tgtMaxFreeTime;
	}

	public void setTgtMaxFreeTime(int tgtMaxFreeTime) {
		this.tgtMaxFreeTime = tgtMaxFreeTime;
	}

	public RedisManager getRedisManager() {
		return redisManager;
	}

	public void setRedisManager(RedisManager redisManager) {
		this.redisManager = redisManager;
	}
	
}

然后修改ticketRegistory.xml 文件 屏蔽掉 

 <!--  <bean id="ticketRegistry" class="org.jasig.cas.ticket.registry.DefaultTicketRegistry" /> -->
	
	<!-- Quartz
	TICKET REGISTRY CLEANER -->
	<!-- <bean id="ticketRegistryCleaner" class="org.jasig.cas.ticket.registry.support.DefaultTicketRegistryCleaner"
		p:ticketRegistry-ref="ticketRegistry"
		p:logoutManager-ref="logoutManager" />
	
	<bean id="jobDetailTicketRegistryCleaner" class="org.springframework.scheduling.quartz.MethodInvokingJobDetailFactoryBean"
		p:targetObject-ref="ticketRegistryCleaner"
		p:targetMethod="clean" />
	
	<bean id="triggerJobDetailTicketRegistryCleaner" class="org.springframework.scheduling.quartz.SimpleTriggerBean"
		p:jobDetail-ref="jobDetailTicketRegistryCleaner"
		p:startDelay="20000"
		p:repeatInterval="5000000" /> -->
添加 
  <bean id="ticketRegistry" class="com.cn.instai.cas.registry.RedisTicketRegistry" 
  	p:redisManager-ref="redisManager"
  	p:stMaxFreeTime="${st.timeToKillInSeconds}"
  	p:tgtMaxFreeTime="${tgt.timeToKillInSeconds}"
  />

${st.timeToKillInSeconds} 与  <span style="font-family: Arial, Helvetica, sans-serif;">${tgt.timeToKillInSeconds} 根据具体情况赋值</span>

到此 ticket的共享完成 

但是测试发现 单点登出虽然ticket是会清楚  但没法单点登出成功  调试发现  以这种方式共享ticket时候  logout时候没有向请求系统发送logoutRequest请求

4.0采用的是logout-webflow 流程结构,查看logout-webflow.xml 
<action-state id="terminateSession">
    <evaluate expression="terminateSessionAction.terminate(flowRequestContext)" />
    <transition to="doLogout" />
  </action-state>
找到开始节点 注意 主要登出业务处理地方  刚开始被我忽略了,一直跟着logoutAction源码   最后发现原来处理都是在terminateSession

cas-server.xml中找到 id为terminateSessionAction的bean   类为org.jasig.cas.web.flow.TerminateSessionAction 
<evaluate expression="terminateSessionAction.terminate(flowRequestContext)" />这一句 其实就是调用 TerminateSessionAction 的terminate方法
代码如下 
public Event terminate(final RequestContext context) {
        // in login's webflow : we can get the value from context as it has already been stored
        String tgtId = WebUtils.getTicketGrantingTicketId(context);
        // for logout, we need to get the cookie's value
        if (tgtId == null) {
            final HttpServletRequest request = WebUtils.getHttpServletRequest(context);
            tgtId = this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request);
        }
        if (tgtId != null) {
            WebUtils.putLogoutRequests(context, this.centralAuthenticationService.destroyTicketGrantingTicket(tgtId));
        }
        final HttpServletResponse response = WebUtils.getHttpServletResponse(context);
        this.ticketGrantingTicketCookieGenerator.removeCookie(response);
        this.warnCookieGenerator.removeCookie(response);
        return this.eventFactorySupport.success(this);
}

发现 centralAuthenticationService.destroyTicketGrantingTicket 发现原来是调用了 centralAuthenticationService的销毁 tgt票据的方法
查看该方法 
    public List
     
     
      
       destroyTicketGrantingTicket(final String ticketGrantingTicketId) {
        Assert.notNull(ticketGrantingTicketId);

        logger.debug("Removing ticket [{}] from registry.", ticketGrantingTicketId);
        final TicketGrantingTicket ticket = this.ticketRegistry.getTicket(ticketGrantingTicketId,
                TicketGrantingTicket.class);

        if (ticket == null) {
            logger.debug("TicketGrantingTicket [{}] cannot be found in the ticket registry.", ticketGrantingTicketId);
            return Collections.emptyList();
        }

        logger.debug("Ticket found. Processing logout requests and then deleting the ticket...");
        //这里就是调用logoutManager的执行logout方法
        final List
      
      
       
        logoutRequests = logoutManager.performLogout(ticket);
        this.ticketRegistry.deleteTicket(ticketGrantingTicketId);

        return logoutRequests;
    }
查看 logoutManager的performLogout方法 
 public List
      
      
       
        performLogout(final TicketGrantingTicket ticket) {
        final Map
       
       
        
         services;
        // synchronize the retrieval of the services and their cleaning for the TGT
        // to avoid concurrent logout mess ups
        synchronized (ticket) {
            //获取登录过的系统servie
            services = ticket.getServices();
            ticket.removeAllServices();
        }
        ticket.markTicketExpired();

        final List
        
        
         
          logoutRequests = new ArrayList
         
         
          
          ();
        // if SLO is not disabled
        if (!disableSingleSignOut) {
            // through all services
            for (final String ticketId : services.keySet()) {
                final Service service = services.get(ticketId);
                // it's a SingleLogoutService, else ignore
                if (service instanceof SingleLogoutService) {
                    final SingleLogoutService singleLogoutService = (SingleLogoutService) service;
                    // the logout has not performed already
                    if (!singleLogoutService.isLoggedOutAlready()) {
                        final LogoutRequest logoutRequest = new LogoutRequest(ticketId, singleLogoutService);
                        // always add the logout request
                        logoutRequests.add(logoutRequest);
                        final RegisteredService registeredService = servicesManager.findServiceBy(service);
                        // the service is no more defined, or the logout type is not defined or is back channel
                        if (registeredService == null || registeredService.getLogoutType() == null
                                || registeredService.getLogoutType() == LogoutType.BACK_CHANNEL) {
                            // perform back channel logout
                            if (performBackChannelLogout(logoutRequest)) {
                                logoutRequest.setStatus(LogoutRequestStatus.SUCCESS);
                            } else {
                                logoutRequest.setStatus(LogoutRequestStatus.FAILURE);
                                LOGGER.warn("Logout message not sent to [{}]; Continuing processing...",
                                        singleLogoutService.getId());
                            }
                        }
                    }
                }
            }
        }

        return logoutRequests;
    }
发现  services = ticket.getServices(); 如果采用默认的ticketRegistry 可以获取到所有service 而如果采用RedisTicketRegistry获取到的services为空的

这里 总算是找到导致没法单点登出的原因了 两种redisTicketRegistry里面保存的TGT票据 不包含 客户端登录过的servie信息  

于是查看 ServiceValidateController 开始我以为是在认证st票据的时候 存储了对应的servie信息 结果好像没发现

后来看到 C entralAuthenticationServiceImpl中的grantServiceTicket方法

//TGT票据对授权ST票据
 final ServiceTicket serviceTicket = ticketGrantingTicket.grantServiceTicket(generatedServiceTicketId, service,
                this.serviceTicketExpirationPolicy, credentials != null);
        this.serviceTicketRegistry.addTicket(serviceTicket);

TGT票据grantServiceTicket方法 
 public synchronized ServiceTicket grantServiceTicket(final String id,
        final Service service, final ExpirationPolicy expirationPolicy,
        final boolean credentialsProvided) {
        final ServiceTicket serviceTicket = new ServiceTicketImpl(id, this,
            service, this.getCountOfUses() == 0 || credentialsProvided,
            expirationPolicy);

        updateState();

        final List
     
     
      
       authentications = getChainedAuthentications();
        service.setPrincipal(authentications.get(authentications.size()-1).getPrincipal());
        //把service信息 存储到services中
        this.services.put(id, service);

        return serviceTicket;
    }

断点比较两种票据存储方式的区别 发现当使用redisTicketRegistry是 这里对TGT票据services的修改 不会更新到redis中
于是自定义了一个 centralAuthenticationService的实现类 在TGT票据授权ST票据后 对TGT票据做了一下刷新
即在ticketGrantingTicket.grantServiceTicket后面增加了一行代码
this.serviceTicketRegistry.addTicket(ticketGrantingTicket);
这里由于redis key相同会覆盖 实际效果和更新一样

到此cas服务端的集群完成
      
希望大神们能给出更好的解决思路

丶roc
关注
专栏目录
CAS4.0单点登录
09-02
CAS4.0是CAS的一个版本,它提供了更安全、更灵活的认证机制,支持多种协议,如CAS、SAML、OAuth等。在本文中,我们将深入探讨CAS4.0单点登录系统的工作原理、配置和实际应用。 一、CAS4.0单点登录系统工作原理 1. ...
第三章 Session共享&单点登陆笔记
hankin的博客
11-29 808
一、传统Session机制及身份认证方案 1、Cookie与服务器的交互 如上图,http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,而且服务器也不会自动维护客户的上下文信息。比如我们现在要实现一个电商内的购物车功能,要怎么才能知道哪些购物车请求对应的是来自同一个客户的请求呢?session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端...
CAS4.0分布式部署以及使用Redis缓存共享ticket
xiang37的专栏
11-03 1291
CAS4.0分布式部署以及使用Redis缓存共享ticket          当业务不断拓展,系统用户在不断增加时,我们的平台统一登录认证服务无法承受当前压力。此时,我们需要分布式部署我们的统一登录认证服务。          CAS的分布式部署,除了注意session共享,通过nginx或者apache反向代理外,还需要注意票据ticket的存储共享。          在ticke...
cas实现共享session
热门推荐
02-15 1万+
cas是开源的登录认证方案,可以实现多个web应用的单点登录。 随着用户量的增加,web应用需要部署多个实例,要实现不同应用、多实例的共享session,需要先了解cas的logout机制。简单的说,web应用在接入cas的时候需要继承cas-client-core,这个模块完成的事情如下: 拦截到web应用的请求,验证登录状态,若未登录则跳转到登录页登录成功,web应用的tomcat
集群间实现Session共享
qinmengdeCluntan的博客
08-24 9432
一、引言针对企业,为了应对庞大的用户访问压力,目前大多数大型网站服务器都采用分布式服务集群部署的方式;针对个人,仅一台服务器而言,也会安装多个tomcat进行错时更新,保证更新后台业务时服务不断开,即模拟了分布式集群的运行方式。在此分布式集群中,我们就不得不考虑一个用户鉴权的问题,即在不同服务上如何保证用户均已登录,并能获取相同的用户登录信息。二、Java Web推荐的(公认的)用户鉴权机制说此部分
CAS 集群部署session共享配置
weixin_34293911的博客
02-18 663
背景 前段时间,项目计划搞独立的登录鉴权中心,由于单独开发一套稳定的登录、鉴权代码,工作量大,最终的方案是对开源鉴权中心CAS(Central Authentication Service)作适配修改。 实际应用中,web服务出于负载、容灾的考虑,采用集群部署web服务(一般是tomcat集群),于是有了CAS server端集群部署的需求。CAS集群部署,需要解决两个问题: CAS票据...
CAS4.0 自定义客服端登陆界面,客服端与服务端
11-27
cas4.0版本的 单点登录 自定义页面。希望对你有用,最低资源分,辛苦分。有问题可以交流学习。谢谢
cas4.0 server的eclipse项目
08-15
【标题】"CAS4.0 Server的Eclipse项目"是一个基于Java开发的身份验证服务系统,专为Web应用程序提供单点登录(Single Sign-On, SSO)解决方案。CAS,即Central Authentication Service,是一个开源项目,旨在简化...
cas4.0源码包
10-29
Cas4.0源码包是CAS系统的一个重要版本,它在功能和性能上都做了很多改进和优化。 CAS的核心功能是实现用户在一个应用系统中登录后,无需再次认证即可访问其他已集成的系统。这种功能极大地提升了用户体验,同时也...
可直接导入eclipse运行的CAS4.0
12-21
直接将压缩包解压,导入eclipse中,替换deployerConfigContext.xml、cas-servlet.xml spring-configuration中的配置文件(将官网原来的配置文件复制过来替换即可。这些XML是根据自己的业务需求已经修改过的)。
web服务器集群(多台web服务器)session同步、共享的3种解决方法
09-15
主要介绍了web服务器集群(多台web服务器)session同步、共享的3种解决方法,需要的朋友可以参考下
CAS Client集群环境的Session问题及解决方案
weixin_30498921的博客
05-20 602
【原创申明:文章为原创,欢迎非盈利性转载,但转载必须注明来源】 之前写过一篇文章,介绍单点登录的基本原理。这篇文章重点介绍开源单点登录系统CAS的登录和注销的实现方法。并结合实际工作中碰到的问题,探讨在集群环境中应用单点登录可能会面临的问题。这篇文章在上一篇的基础上,增加了第四部分,最终的解决方案。 1单点登录的过程 为了描述方便,假设有如下一个单点登录系统。一套CASServer,两套C...
集群session共享问题的解决方案.
dearbaba_11的博客
07-30 93
集群session共享问题的解决方案.
CAS单点登录(十二)——集群部署
Anumbrella
05-26 5560
通过前面一系列的文章介绍,关于CAS的基本知识点大致介绍完了,今天讲解一下CAS中集群的部署。我们知道当访问量越来越来多时,我们需要对CAS服务的性能进行提升,而通过集群的方式提高CAS的服务性能是比较直接的。 在部署的服务中,通过使用nginx来实现负载均衡分发到CAS具体的服务上,但是我们知道前端每次访问时是随机访问分配的,所以就会出现session共享问题,同时在不同CAS中的TGT分配的t...
CAS5.2 之 Session 共享后,带着ST回Client后报404,删除ST恢复正常
GuanHao的博客
11-30 1113
现象 在上一篇Session共享的文章中可以看到我们最终选取了 &lt;Context sessionCookiePath="/" sessionCookieName="SESSIONID" &gt; 来实现Session共享,之后便出现了一下现象:登录时会报404,后台报“不符合目标服务”,删除URL后携带的ticket后可以成功进入 判断问题在哪 加上Session共享出现问题,移除Sess...
解决CAS 4.2.7 版本集群部署的各种问题
一撮山羊胡
07-02 3550
近期公司决定使用CAS来做单点登录,选择较为稳定的4.*版本,然而在集群部署时发现了不少问题。今天在这里总结一下,一、部署条件安装tomcat7 集群 (demo 两台)安装redis 集群 (demo 单台) cas 4.2.7版本,单台CAS服务环境下登录、单点、退出皆运行正常安装nginx ,配置tomcat集群负载均衡;其他负载均衡方式皆可JDK1.7    二、集群部署问题需解决集群环境...
Cas集群化部署方案
qq_36956015的博客
03-02 1211
分布式session会话Sticky Sessions https://blog.csdn.net/tomcat_baby/article/details/52787679 《SSO CAS单点系列》之 大型互联网应用基于CAS的SSO架构(精华) CAS集群解决方案 ...
CAS客户端集群
weixin_34198797的博客
09-23 245
2019独角兽企业重金招聘Python工程师标准>>> ...
CAS 5.3.x 单点登录实现集群搭建,快速入手(二)!!!!
Qensq的博客
09-07 4206
前言: 该篇教程描述如何搭建CAS5.3.x集群操作,由于官方文档并没有贴出集群搭建方案,所以本博主根据源码剖析解决该问题。 文档并没有深入浅出说明原理,直接贴代码用于快速上手学习。 学习CAS5.x 推荐看 以下两个博主文章 此博主文章:https://blog.csdn.net/u010475041/article/category/7156505 此博主文章:https://blo...
CAS 4.0 单点登录系统详解与实现教程
"CAS 4.0 单点登录教程" CAS 4.0 是一个中央认证服务(Central Authentication Service)版本,由耶鲁大学发起并最初开发,后来成为JA-SIG(Java 教育技术社区)的一个项目。CAS的主要目的是提供一种安全的单点登录...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值