CAS单点登录系统实现强制用户下线退出

最新推荐文章于 2023-04-26 10:05:55 发布
最新推荐文章于 2023-04-26 10:05:55 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: 单点登录 文章标签: java CAS 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aileitianshi/article/details/116244148
版权

需求背景

当管理员冻结用户时, 立即退出所有服务的登陆状态

当前项目架构

用户管理系统: 管理用户的状态与权限等用户信息

CAS单点登录系统: 对用户进行认证授权

管理后台: 公司的微服务系统

当前认证流程

在这里插入图片描述
红色虚线内为用户与CAS交互的部分

也是后边需要改动CAS认证流程逻辑的部分

实现冻结立即下线

下线实现

管理后台开放的一个删除Redis中Session的接口 /session/deleteByUserId

然后管理员在用户服务进行冻结操作时调用管理后台的 /session/deleteByUserId 接口

这时所有用户的Session信息因被删除而失效就实现了用户下线的功能

根据用户ID删除Session

通过代码找到用户生成Session的方法

org.apache.shiro.session.mgt.eis.AbstractSessionDAO#generateSessionId

该方法由自定义的 SessionRedisDao.java 所调用

生成的是一个UUID作sessionId

然后用sessionId作为redis的Key

那么要实现根据用户ID删除redis的session就必须key上标记用户的id

最简单的办法就是生成sessionId后, 在sessionId前加上用户id

这时redis key的结构为 前缀:用户ID:SessionId

问题点在于如何获取用户ID?

因为Session创建时间是用户访问就会生成,

也就是用户没登录时就已经生成了session, 这个时间是获取不到用户ID的

解决办法

未登录用户的session不进行保存, 用户未登录时每次访问都会重新创建session,

当用户处于已登录状态时才保存session

源码分析

Session创建的方法

org.apache.shiro.session.mgt.SimpleSessionFactory#createSession

    public Session createSession(SessionContext initData) {
        if (initData != null) {
            String host = initData.getHost();
            if (host != null) {
                return new SimpleSession(host);
            }
        }
        return new SimpleSession();
    }

可以看到Session最开始是使用SessionContext进行创建的

SessionContext创建的方法

org.apache.shiro.web.subject.support.WebDelegatingSubject#createSessionContext

    protected SessionContext createSessionContext() {
        WebSessionContext wsc = new DefaultWebSessionContext();
        String host = getHost();
        if (StringUtils.hasText(host)) {
            wsc.setHost(host);
        }
        wsc.setServletRequest(this.servletRequest);
        wsc.setServletResponse(this.servletResponse);
        return wsc;
    }

可以看到方法内写死了new DefaultWebSessionContext(), 没有可扩展的可能性.

那么只能从WebDelegatingSubject类看看能不能重写这个方法

WebDelegatingSubjectl创建的方法

org.apache.shiro.mgt.DefaultSubjectFactory#createSubject

    public Subject createSubject(SubjectContext context) {
        SecurityManager securityManager = context.resolveSecurityManager();
        Session session = context.resolveSession();
        boolean sessionCreationEnabled = context.isSessionCreationEnabled();
        PrincipalCollection principals = context.resolvePrincipals();
        boolean authenticated = context.resolveAuthenticated();
        String host = context.resolveHost();

        return new DelegatingSubject(principals, authenticated, host, session, sessionCreationEnabled, securityManager);
    }

这里看到创建处也写死了new DelegatingSubject(), 也无法扩展,

再看看DefaultSubjectFactory能不能重写这个方法

CasSubjectFactory创建的方法

@Bean(name = "casSubjectFactory")
public CasSubjectFactory casSubjectFactory() {
    return new CasSubjectFactory();
}

@Bean(name = "webSecurityManager")
public DefaultWebSecurityManager webSecurityManager(CasRealm casRealm, SessionManager sessionManager, CasSubjectFactory casSubjectFactory) {
    DefaultWebSecurityManager webSecurityManager = new DefaultWebSecurityManager();
    webSecurityManager.setRealm(casRealm);
    webSecurityManager.setSessionManager(sessionManager);
    webSecurityManager.setSubjectFactory(casSubjectFactory);

    SecurityUtils.setSecurityManager(webSecurityManager);

    return webSecurityManager;
}

这里已经来到了我们自己的配置类中

这个类是我们自己创建然后set到DefaultWebSecurityManager中的,

只要在这里替换掉这个类为自己重写方法后的类就可以实现了

重写的类

自己的SessionContex

public class XhWebSessionContext extends DefaultWebSessionContext {

    private PrincipalCollection principals;

    public PrincipalCollection getPrincipals() {
        return principals;
    }

    public void setPrincipals(PrincipalCollection principals) {
        this.principals = principals;
    }
}

自己的DelegatingSubject

将认证信息放入SessionContext中

public class XhWebDelegatingSubject extends WebDelegatingSubject {

    public XhWebDelegatingSubject(PrincipalCollection principals, boolean authenticated, String host, Session session, ServletRequest request, ServletResponse response, SecurityManager securityManager) {
        super(principals, authenticated, host, session, request, response, securityManager);
    }

    public XhWebDelegatingSubject(PrincipalCollection principals, boolean authenticated, String host, Session session, boolean sessionEnabled, ServletRequest request, ServletResponse response, SecurityManager securityManager) {
        super(principals, authenticated, host, session, sessionEnabled, request, response, securityManager);
    }

    @Override
    protected SessionContext createSessionContext() {
        XhWebSessionContext wsc = new XhWebSessionContext();
        String host = getHost();
        if (StringUtils.hasText(host)) {
            wsc.setHost(host);
        }
        wsc.setServletRequest(super.getServletRequest());
        wsc.setServletResponse(super.getServletResponse());
        // 用户认证信息
        wsc.setPrincipals(super.principals);
        return wsc;
    }
}

配置中替换原来的CasSubjectFactory为自己的

@Bean(name = "casSubjectFactory")
public XhCasSubjectFactory casSubjectFactory() {
    return new XhCasSubjectFactory();
}

@Bean(name = "webSecurityManager")
public DefaultWebSecurityManager webSecurityManager(CasRealm casRealm, SessionManager sessionManager, XhCasSubjectFactory casSubjectFactory) {
    DefaultWebSecurityManager webSecurityManager = new DefaultWebSecurityManager();
    webSecurityManager.setRealm(casRealm);
    webSecurityManager.setSessionManager(sessionManager);
    webSecurityManager.setSubjectFactory(casSubjectFactory);

    SecurityUtils.setSecurityManager(webSecurityManager);

    return webSecurityManager;
}

接下来重写创建Session的方法

public class XhSessionFactory extends SimpleSessionFactory {

    @Override
    public Session createSession(SessionContext initData) {
        if (initData instanceof XhWebSessionContext) {
            XhWebSessionContext sessionContext = (XhWebSessionContext) initData;
            // 用户认证信息
            PrincipalCollection principals = sessionContext.getPrincipals();
            if (principals != null) {
                // 有用户认证信息说明已经登录, 只有登录了才使用自己实现的Session
                String priUserLoginName = (String) sessionContext.getPrincipals().getPrimaryPrincipal();
                // 这里用的是自己实现的Session, 把用户名保存进去
                XhSession session = new XhSession();
                session.setPriUserLoginName(priUserLoginName);
                return session;
            }
        }
        return super.createSession(initData);
    }
}

配置自己的SessionFactory

    @Bean(name = "sessionManager")
    public DefaultWebSessionManager defaultWebSessionManager(XhSessionRedisDao sessionDAO, SimpleCookie sessionIdCookie) {
        DefaultWebSessionManager sessionManager =  new DefaultWebSessionManager();
        sessionManager.setGlobalSessionTimeout(SessionTimeout);
        sessionManager.setDeleteInvalidSessions(true);
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionDAO(sessionDAO);
        sessionManager.setSessionIdCookieEnabled(true);
        sessionManager.setSessionIdCookie(sessionIdCookie);
        // 用的是重写了方法的SessionFactory
        sessionManager.setSessionFactory(new XhSessionFactory());
        return sessionManager;
    }

这里重写了Session

因为默认的Session实现类是SimpleSession

这个类没有可以存放用户信息的字段, 我们必须加一个字段来存

public class XhSession extends SimpleSession {
    private String priUserLoginName;

    public String getPriUserLoginName() {
        return priUserLoginName;
    }

    public void setPriUserLoginName(String priUserLoginName) {
        this.priUserLoginName = priUserLoginName;
    }
}

SessionId的创建与保存

该方法位于SessionRedisDao

public class XhSessionRedisDao extends CachingSessionDAO {
    ...
	@Override
    protected Serializable doCreate(Session session) {
    	// 创建sessionId, 内容为UUID
        Serializable sessionId = generateSessionId(session);
        // 判断类型为XhSession说明已经登录, 有用户信息
        if (session instanceof XhSession) {
            XhSession xhSession = ((XhSession) session);
            String priUserLoginName = xhSession.getPriUserLoginName();
            try {
                // sessionId 前增加用户id
                // 调用用户管理服务查询用户信息
                Result<UserVO> result = privilegeRemoteClient.selectUserByLoginName(priUserLoginName);
                UserVO user = result.getModel();
                if (user != null) {
                    // 查询成功拼接用户id并设置到session中且返回
                    sessionId = user.getId() + ":" + sessionId;
                    xhSession.setId(sessionId);
                    // 保存到Redis中
                    ValueOperations<Serializable, Session> opsForValue = redisTemplate.opsForValue();
                    opsForValue.set(getKey(sessionId), session, Constant.CAS_EXPIRE_TIME, TimeUnit.SECONDS);

                    return sessionId;
                }
            } catch (Exception e) {
                log.error("查询用户信息失败:{}", priUserLoginName, e);
            }
        }
        // 未登录不保存sid
        assignSessionId(session, sessionId);
        // 该缓存用于该sid能在本次请求维持shiro框架的运转
        // 该session仅保存在ThreadLocal中, 请求结束便会失效(过滤器结束时清写代码理掉)
        SessionUtil.setSession(session);
        return sessionId;
    }
    ...
}

redis key生成方法

private String getKey(Serializable sessionId) {
    return CasConstants.REDIS_KEY_PREFIX + sessionId.toString();
}

根据用户ID删除Session

public class XhSessionRedisDao extends CachingSessionDAO {
...
	public void doDeleteByUserId(Integer priUserId) {
        // 查询用户下的所有Session的KEY
        Set<Serializable> keys = redisTemplate.keys(getKey(priUserId) + ":*");
        Cache<Serializable, Session> activeSessionsCache = super.getActiveSessionsCache();
        if (keys == null) {
            return;
        }
        // 遍历删除Session以及本地缓存
        for (Serializable key : keys) {
            redisTemplate.delete(key);
            if (activeSessionsCache != null) {
                activeSessionsCache.remove(key.toString().substring(CasConstants.REDIS_KEY_PREFIX.length()));
            }
        }
    }
...
}

CAS服务的退出

起初对该认证流程不了解,

将用户数据库的状态改为冻结后,

只做了客户端的退出, 把管理后台Redis中的Session删除,

当用户访问首页时确实返回了未认证跳转到CAS服务进行登陆.

用户跳转到CAS服务时, CAS服务会对Cookies中的CASTGC信息进行内存查找,

由于之前在CAS登录过所以CASTGC是有效的, 则不会要求账户密码登录.

而是直接发放授权跳转回后台的/cas/auth?ticket=XXX

这时后台又重新获得了登录

这期间CAS完全没有查询数据库, 所以CAS服务并不知道用户已被冻结

解决办法

当CAS从使用CASTGC值获取到用户的ticket认证信息时,

再查一次数据库确保用户当前状态是有效的才允许通过

修改CAS服务的代码

该功能代码改动位置 CentralAuthenticationServiceImpl.java

	// 引入数据库
	private SimpleJdbcTemplate jdbcTemplate;

    public final void setDataSource(final DataSource dataSource) {
        this.jdbcTemplate = new SimpleJdbcTemplate(dataSource);
    }

	// 验证用户的sql
	private String validationSql;

    public void setValidationSql(String validationSql) {
        this.validationSql = validationSql;
    }
    
	// 获取ticket的方法
    public String grantServiceTicket(final String ticketGrantingTicketId,
        final Service service, final Credentials credentials)
        throws TicketException {
        if (credentials != null) {
            ...
        }
        // 增加这一段代码
        else {
            // 从ticket中获取用户认证信息
            Authentication authentication = ticketGrantingTicket.getAuthentication();
            Principal principal = authentication.getPrincipal();
            // 拿到用户名进行数据查询
            String username = principal.getId();
            List<Map<String, Object>> list = this.jdbcTemplate.queryForList(
                    this.validationSql, username);
            if (list == null || list.isEmpty()) {
                // 如果查询不到, 说明用户已被冻结或被删除
                this.ticketRegistry.deleteTicket(ticketGrantingTicket.getId());
                log.info("Token validation failed by query database account_name, token:" + ticketGrantingTicket.getId());
                // 抛出ticket无效异常即可
                throw new InvalidTicketException();
            }
        }
    }

最后将 applicationContext.xml 配置的 centralAuthenticationService Bean

把数据源和 validationSql 的SQL语句配置好

<property name="dataSource" ref="dataSource" />
<property name="validationSql" value="select `name` from `user` where `is_delete` = 0 and `status` = 1 and `name` = ?" />

后话

这里多亏这篇文章的帮助

https://blog.csdn.net/dovejing/article/details/44523545

我用的还是CAS 3.x的版本, 各种xml配置, 如果完全自己调试找出核心代码得吃不少苦头

aileitianshi
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot集成CAS实现单点登录的示例代码
08-19
主要介绍了springboot集成CAS实现单点登录的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
java单点登录强制下线_实现单点登录强制对方下线
weixin_35496861的博客
02-25 790
前些天做了一个网站,客户的要求是实现单点登录,并如果有人在用这个号码登录强制第一个人下线。自己以前看到过这个例子,是将用户登录的信息存储在application之中,登录的时候判断是否由此信息,来实现单点登录。但是这有一个弊端,就是用户必须正常退出(其实应该还有别的方法,只是我暂时还没有想到),下次才能正常登录。但是不可能所有的用户都会想到去点击退出,由此就会有好多的用户登录之后,如果不是正常退...
CAS单点登录demo.rar
最新发布
11-13
这个资源是一个CAS(Central Authentication Service)单点登录演示项目,用于展示如何实现基于CAS单点登录系统CAS是一种常用的身份认证和授权解决方案,适用于分布式系统中的用户身份验证。该演示项目将通过简单而清晰的代码示例,演示CAS单点登录的基本原理、配置步骤以及如何集成CAS客户端到你的应用中。 适用人群: 这个资源适用于具有一定Java编程和Web开发经验的开发人员,特别是那些对单点登录和身份认证系统感兴趣的开发者。 通过这个资源,你将学到以下关键技能和知识: CAS单点登录基本概念:了解CAS是什么,以及它如何在分布式系统中提供单点登录服务。 阅读建议: 先行了解CAS基础概念: 在深入代码之前,建议先对CAS的基本概念有所了解,包括CAS服务器和客户端的角色以及它们之间的交互方式。 自己动手实践: 不仅要阅读代码示例,还要亲自动手实践,修改代码并观察不同的行为。这有助于深入理解CAS的工作原理。 参考CAS文档: 在阅读代码的同时,建议查阅CAS官方文档,以获取更详细的配置和使用信息。
Django集成CAS单点登录的方法示例
09-19
主要介绍了Django集成CAS单点登录的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于Java集成CAS单点登录【接部署即可启用】
12-11
基于JavaCAS单点登录,有服务端的所有源码,将tomcat目录下的所有资源直接拷到Tomcat服务中间件的webapp目录下,阅读tomcat-webapp中的read.txt文档,查看使用说明,适用于第一次开发CAS单点登录的同学们,简单易上手。
springboot+vue+cas实现单点登录退出
qq_29467891的博客
04-26 1669
*** @description 重写拦截器自定义状态码,实现前后端分离的单点登录*/} //升级cas-client版本后// if(!} else {
Cas集群cas client登出问题方案
qq_36956015的博客
06-11 673
https://www.cnblogs.com/jason123/p/8618624.html
CAS实现同帐号当前登录成功踢出前一登录终端
qq_36956015的博客
07-22 557
CAS实现同帐号当前登录成功踢出前一登录终端: https://blog.csdn.net/tian3559060/article/details/80166877
单点登录解决方案——CAS设置
武汉小喽啰
02-14 461
1. 服务端数据源配置 1.1 从配置文件配置 这种方式比较简单,就是在CAS服务端的WEB-INF目录下的部署上下文配置文件deployerConfigContext.xml中,给id=primaryAuthenticationHandler的bean添加一个属性,如图: 1.2 从数据库读取 从配置文件配置简单方便,但是局限性很大,我们在实际开发中几乎不使用该方式,...
SpringBoot集成单点登录-“被挤下线
chajinglong的专栏
12-18 8847
SpringBoot配置单点登录 前言 你好,未来!上个周末过的还行,逛街逛到腿发软,生活还是有仪式感,一生要待自己待你最亲近的人,周一休息,顺便看了看04版天龙八部,塑造了三位英雄人物,共同点:热血男儿,助人为乐,乔峰大侠气概,段誉风流倜傥,虚竹严于律己,久久思考金庸在写的时候,思想与灵魂是何尝不是伟大,让我也陷入了沉思,久久不能自拔。 中言 前言总会自己乱说一通,然后才能进入主题一些相关而有...
CAS单点登录服务端部署包
08-26
CAS 是 Central Authentication Service 的缩写 —— 中央认证服务,一种独立开放指令协议,是 Yale 大学发起的一个企业级开源项目,旨在为 Web 应用系统提供一种可靠的 SSO 解决方案。 CAS 支持以下特性: CAS v1, v2 和 v3 协议 SAML v1 和 v2 协议 OAuth v2 协议 OpenID & OpenID Connect 协议 WS-Federation Passive Requestor 协议 通过 JAAS, LDAP, RDBMS, X.509, Radius, SPNEGO, JWT, Remote, Trusted, BASIC, Apache Shiro, MongoDb, Pac4J 等组件进行身份验证 将身份验证委派至 WS-FED, Facebook, Twitter, SAML IdP, OpenID, OpenID Connect, CAS 等地方 通过 ABAC, Time/Date, REST, Internet2 的 Grouper 等因子进行身份验证 通过 Hazelc
CAS - 简单介绍与配置数据源登录退出
不想懂得Zenith
11-21 520
一. 什么是单点登录 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO 的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。当我们的系统存在诸多子系统,而这些子系统是分别部署在不同的服务器中,那么使用传统方式的 session 是无法解决的,我们需要使用相关的单点登录技术来解决。   二. 什么是 CA...
php cas不能登出,CAS 4.1.x 单点登出(退出登录)的原理解析
weixin_29039773的博客
03-22 849
我们在项目中使用了cas作为单点登录的解决方案,当在集成shiro做统一权限控制的时候,发现单点退出登录有坑,所以啃了一下CAS的单点登出的源码,在此分享一下。1、回顾单点登录中一些关键事件在解析CAS单点登出的原理之前,我们先回顾一下在单点登录过程中,CAS服务器和CAS客户端都做了一些什么事,这些事在后面解析单点登出时有助于理解。一般情况下,在项目中使用cas client提供的几个过滤器实现...
springmvc 功能 登出_CAS5.3 单点登录/登出/springboot/springmvc
weixin_36184718的博客
02-22 2311
环境:jdk:1.8cas server:5.3.14 + tomcat 8.5cas client:3.5.1客户端1:springmvc 传统web项目(使用web.xml)客户端2:springboot为了方便,没配置https.如果需要参考上面博客一.CAS 服务端搭建1.下载源码包:cas overlay github地址:https://github.com/apereo/cas-ov...
SpringBoot 集成cas5.3 通过Restful协议请求认证和退出
Tongyao
11-04 2417
前面我们讲解了一些列的CAS文章,对CAS有了很多了解。今天我们讲解一个现在服务常用的REST协议来完成CAS登录、认证,不需要我们手动登录跳转到CAS登录页面就可以完成CAS的一些列操作。 我们知道CAS认证支持包括多种协议去认证,包括CAS、OAuth、SAML1、SAML2、REST Protocol等协议,这里我们采用REST协议去获取TGT,然后获取到TGT后获取到ST,最后拿到ST后再去访问服务。 一、认证服务 首先我们加入Rest服务依赖: <!-- Restful support
session和cookie实现用户自动登录退出清除缓存
m0_73402102的博客
03-28 3611
利用session和cookie的缓存机制,实现自动登录,不用多次认证。以及清除缓存功能
关于用户冻结如何跳转的问题
zhangjie_0202的博客
01-10 525
usercontroller中的代码: @Controller public class UserController {     @Resource     private UserBiz userBiz;     /**      *      @author jerry      版本:1.0      */     @RequestMapping(value="/u
单人登录-踢下线功能实现
weixin_42696317的博客
10-02 3201
单人登录-踢下线功能实现 功能描述: 用户在不同会话层登录账号会将之前的账户状态注销,同一时间只有一个用户在线。 实现:servlet+redis, 1.由于session的存储形式类似于key-value形式,则将其存储在redis中的hashmap较为合适。 2.redis中的hashmap只能存储string类型的键值对,因此将<username,sessionid&g...
CAS-5.2.6单点登录-退出原理
喝醉的咕咕鸟
06-22 3673
退出原理流程图: cas退出有三种模式: NONE:不支持单点登录 BACK_CHANNEL:隐式退出(默认) FRONT_CHANNEL:显式退出 参数说明 参考官网地址 https://apereo.github.io/cas/5.2.x/installation/Configuration-Properties.html#logout #配置单点登出 #配...
移动端cas单点登录如何实现
07-12
移动端CAS单点登录实现可以参考以下步骤: 1. 配置CAS服务器:首先,你需要搭建CAS服务器并进行相关配置。CAS服务器负责用户认证和授权,并生成和验证票据。 2. 移动端应用集成CAS客户端:在移动端应用中集成CAS客户端库,以便与CAS服务器进行通信。你可以使用现有的CAS客户端库,如CAS Client for JavaCAS Client for iOS等。 3. 用户登录:当用户在移动端应用中进行登录时,应用会将用户凭证发送到CAS服务器进行认证。CAS服务器验证用户凭证的有效性,并生成一个票据(Ticket)。 4. 获取票据:移动端应用通过CAS客户端库获取由CAS服务器生成的票据。 5. 向移动端应用服务器发送票据:移动端应用将票据发送给应用后端服务器,以便后续的认证和授权操作。 6. 应用后端服务器验证票据:应用后端服务器通过CAS客户端库验证移动端应用发送的票据的有效性。如果票据有效,说明用户已经通过CAS认证,可以继续处理后续的业务逻辑。 7. 完成单点登录:一旦用户在移动端应用中成功完成CAS认证,在同一CAS域下的其他应用也可以通过这个票据来实现单点登录。这是因为其他应用也会使用CAS客户端库来验证票据的有效性。 需要注意的是,CAS单点登录的具体实现可能因为技术栈和业务需求的不同而有所差异。上述步骤提供了一个基本的参考,你可以根据实际情况进行调整和扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值