CAS单点登录系统实现强制用户下线退出

最新推荐文章于 2023-03-28 22:10:09 发布
最新推荐文章于 2023-03-28 22:10:09 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: 单点登录 文章标签: java CAS 单点登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aileitianshi/article/details/116244148
版权

需求背景

当管理员冻结用户时, 立即退出所有服务的登陆状态

当前项目架构

用户管理系统: 管理用户的状态与权限等用户信息

CAS单点登录系统: 对用户进行认证授权

管理后台: 公司的微服务系统

当前认证流程

在这里插入图片描述
红色虚线内为用户与CAS交互的部分

也是后边需要改动CAS认证流程逻辑的部分

实现冻结立即下线

下线实现

管理后台开放的一个删除Redis中Session的接口 /session/deleteByUserId

然后管理员在用户服务进行冻结操作时调用管理后台的 /session/deleteByUserId 接口

这时所有用户的Session信息因被删除而失效就实现了用户下线的功能

根据用户ID删除Session

通过代码找到用户生成Session的方法

org.apache.shiro.session.mgt.eis.AbstractSessionDAO#generateSessionId

该方法由自定义的 SessionRedisDao.java 所调用

生成的是一个UUID作sessionId

然后用sessionId作为redis的Key

那么要实现根据用户ID删除redis的session就必须key上标记用户的id

最简单的办法就是生成sessionId后, 在sessionId前加上用户id

这时redis key的结构为 前缀:用户ID:SessionId

问题点在于如何获取用户ID?

因为Session创建时间是用户访问就会生成,

也就是用户没登录时就已经生成了session, 这个时间是获取不到用户ID的

解决办法

未登录用户的session不进行保存, 用户未登录时每次访问都会重新创建session,

当用户处于已登录状态时才保存session

源码分析

Session创建的方法

org.apache.shiro.session.mgt.SimpleSessionFactory#createSession

    public Session createSession(SessionContext initData) {
        if (initData != null) {
            String host = initData.getHost();
            if (host != null) {
                return new SimpleSession(host);
            }
        }
        return new SimpleSession();
    }

可以看到Session最开始是使用SessionContext进行创建的

SessionContext创建的方法

org.apache.shiro.web.subject.support.WebDelegatingSubject#createSessionContext

    protected SessionContext createSessionContext() {
        WebSessionContext wsc = new DefaultWebSessionContext();
        String host = getHost();
        if (StringUtils.hasText(host)) {
            wsc.setHost(host);
        }
        wsc.setServletRequest(this.servletRequest);
        wsc.setServletResponse(this.servletResponse);
        return wsc;
    }

可以看到方法内写死了new DefaultWebSessionContext(), 没有可扩展的可能性.

那么只能从WebDelegatingSubject类看看能不能重写这个方法

WebDelegatingSubjectl创建的方法

org.apache.shiro.mgt.DefaultSubjectFactory#createSubject

    public Subject createSubject(SubjectContext context) {
        SecurityManager securityManager = context.resolveSecurityManager();
        Session session = context.resolveSession();
        boolean sessionCreationEnabled = context.isSessionCreationEnabled();
        PrincipalCollection principals = context.resolvePrincipals();
        boolean authenticated = context.resolveAuthenticated();
        String host = context.resolveHost();

        return new DelegatingSubject(principals, authenticated, host, session, sessionCreationEnabled, securityManager);
    }

这里看到创建处也写死了new DelegatingSubject(), 也无法扩展,

再看看DefaultSubjectFactory能不能重写这个方法

CasSubjectFactory创建的方法

@Bean(name = "casSubjectFactory")
public CasSubjectFactory casSubjectFactory() {
    return new CasSubjectFactory();
}

@Bean(name = "webSecurityManager")
public DefaultWebSecurityManager webSecurityManager(CasRealm casRealm, SessionManager sessionManager, CasSubjectFactory casSubjectFactory) {
    DefaultWebSecurityManager webSecurityManager = new DefaultWebSecurityManager();
    webSecurityManager.setRealm(casRealm);
    webSecurityManager.setSessionManager(sessionManager);
    webSecurityManager.setSubjectFactory(casSubjectFactory);

    SecurityUtils.setSecurityManager(webSecurityManager);

    return webSecurityManager;
}

这里已经来到了我们自己的配置类中

这个类是我们自己创建然后set到DefaultWebSecurityManager中的,

只要在这里替换掉这个类为自己重写方法后的类就可以实现了

重写的类

自己的SessionContex

public class XhWebSessionContext extends DefaultWebSessionContext {

    private PrincipalCollection principals;

    public PrincipalCollection getPrincipals() {
        return principals;
    }

    public void setPrincipals(PrincipalCollection principals) {
        this.principals = principals;
    }
}

自己的DelegatingSubject

将认证信息放入SessionContext中

public class XhWebDelegatingSubject extends WebDelegatingSubject {

    public XhWebDelegatingSubject(PrincipalCollection principals, boolean authenticated, String host, Session session, ServletRequest request, ServletResponse response, SecurityManager securityManager) {
        super(principals, authenticated, host, session, request, response, securityManager);
    }

    public XhWebDelegatingSubject(PrincipalCollection principals, boolean authenticated, String host, Session session, boolean sessionEnabled, ServletRequest request, ServletResponse response, SecurityManager securityManager) {
        super(principals, authenticated, host, session, sessionEnabled, request, response, securityManager);
    }

    @Override
    protected SessionContext createSessionContext() {
        XhWebSessionContext wsc = new XhWebSessionContext();
        String host = getHost();
        if (StringUtils.hasText(host)) {
            wsc.setHost(host);
        }
        wsc.setServletRequest(super.getServletRequest());
        wsc.setServletResponse(super.getServletResponse());
        // 用户认证信息
        wsc.setPrincipals(super.principals);
        return wsc;
    }
}

配置中替换原来的CasSubjectFactory为自己的

@Bean(name = "casSubjectFactory")
public XhCasSubjectFactory casSubjectFactory() {
    return new XhCasSubjectFactory();
}

@Bean(name = "webSecurityManager")
public DefaultWebSecurityManager webSecurityManager(CasRealm casRealm, SessionManager sessionManager, XhCasSubjectFactory casSubjectFactory) {
    DefaultWebSecurityManager webSecurityManager = new DefaultWebSecurityManager();
    webSecurityManager.setRealm(casRealm);
    webSecurityManager.setSessionManager(sessionManager);
    webSecurityManager.setSubjectFactory(casSubjectFactory);

    SecurityUtils.setSecurityManager(webSecurityManager);

    return webSecurityManager;
}

接下来重写创建Session的方法

public class XhSessionFactory extends SimpleSessionFactory {

    @Override
    public Session createSession(SessionContext initData) {
        if (initData instanceof XhWebSessionContext) {
            XhWebSessionContext sessionContext = (XhWebSessionContext) initData;
            // 用户认证信息
            PrincipalCollection principals = sessionContext.getPrincipals();
            if (principals != null) {
                // 有用户认证信息说明已经登录, 只有登录了才使用自己实现的Session
                String priUserLoginName = (String) sessionContext.getPrincipals().getPrimaryPrincipal();
                // 这里用的是自己实现的Session, 把用户名保存进去
                XhSession session = new XhSession();
                session.setPriUserLoginName(priUserLoginName);
                return session;
            }
        }
        return super.createSession(initData);
    }
}

配置自己的SessionFactory

    @Bean(name = "sessionManager")
    public DefaultWebSessionManager defaultWebSessionManager(XhSessionRedisDao sessionDAO, SimpleCookie sessionIdCookie) {
        DefaultWebSessionManager sessionManager =  new DefaultWebSessionManager();
        sessionManager.setGlobalSessionTimeout(SessionTimeout);
        sessionManager.setDeleteInvalidSessions(true);
        sessionManager.setSessionValidationSchedulerEnabled(true);
        sessionManager.setSessionDAO(sessionDAO);
        sessionManager.setSessionIdCookieEnabled(true);
        sessionManager.setSessionIdCookie(sessionIdCookie);
        // 用的是重写了方法的SessionFactory
        sessionManager.setSessionFactory(new XhSessionFactory());
        return sessionManager;
    }

这里重写了Session

因为默认的Session实现类是SimpleSession

这个类没有可以存放用户信息的字段, 我们必须加一个字段来存

public class XhSession extends SimpleSession {
    private String priUserLoginName;

    public String getPriUserLoginName() {
        return priUserLoginName;
    }

    public void setPriUserLoginName(String priUserLoginName) {
        this.priUserLoginName = priUserLoginName;
    }
}

SessionId的创建与保存

该方法位于SessionRedisDao

public class XhSessionRedisDao extends CachingSessionDAO {
    ...
	@Override
    protected Serializable doCreate(Session session) {
    	// 创建sessionId, 内容为UUID
        Serializable sessionId = generateSessionId(session);
        // 判断类型为XhSession说明已经登录, 有用户信息
        if (session instanceof XhSession) {
            XhSession xhSession = ((XhSession) session);
            String priUserLoginName = xhSession.getPriUserLoginName();
            try {
                // sessionId 前增加用户id
                // 调用用户管理服务查询用户信息
                Result<UserVO> result = privilegeRemoteClient.selectUserByLoginName(priUserLoginName);
                UserVO user = result.getModel();
                if (user != null) {
                    // 查询成功拼接用户id并设置到session中且返回
                    sessionId = user.getId() + ":" + sessionId;
                    xhSession.setId(sessionId);
                    // 保存到Redis中
                    ValueOperations<Serializable, Session> opsForValue = redisTemplate.opsForValue();
                    opsForValue.set(getKey(sessionId), session, Constant.CAS_EXPIRE_TIME, TimeUnit.SECONDS);

                    return sessionId;
                }
            } catch (Exception e) {
                log.error("查询用户信息失败:{}", priUserLoginName, e);
            }
        }
        // 未登录不保存sid
        assignSessionId(session, sessionId);
        // 该缓存用于该sid能在本次请求维持shiro框架的运转
        // 该session仅保存在ThreadLocal中, 请求结束便会失效(过滤器结束时清写代码理掉)
        SessionUtil.setSession(session);
        return sessionId;
    }
    ...
}

redis key生成方法

private String getKey(Serializable sessionId) {
    return CasConstants.REDIS_KEY_PREFIX + sessionId.toString();
}

根据用户ID删除Session

public class XhSessionRedisDao extends CachingSessionDAO {
...
	public void doDeleteByUserId(Integer priUserId) {
        // 查询用户下的所有Session的KEY
        Set<Serializable> keys = redisTemplate.keys(getKey(priUserId) + ":*");
        Cache<Serializable, Session> activeSessionsCache = super.getActiveSessionsCache();
        if (keys == null) {
            return;
        }
        // 遍历删除Session以及本地缓存
        for (Serializable key : keys) {
            redisTemplate.delete(key);
            if (activeSessionsCache != null) {
                activeSessionsCache.remove(key.toString().substring(CasConstants.REDIS_KEY_PREFIX.length()));
            }
        }
    }
...
}

CAS服务的退出

起初对该认证流程不了解,

将用户数据库的状态改为冻结后,

只做了客户端的退出, 把管理后台Redis中的Session删除,

当用户访问首页时确实返回了未认证跳转到CAS服务进行登陆.

用户跳转到CAS服务时, CAS服务会对Cookies中的CASTGC信息进行内存查找,

由于之前在CAS登录过所以CASTGC是有效的, 则不会要求账户密码登录.

而是直接发放授权跳转回后台的/cas/auth?ticket=XXX

这时后台又重新获得了登录

这期间CAS完全没有查询数据库, 所以CAS服务并不知道用户已被冻结

解决办法

当CAS从使用CASTGC值获取到用户的ticket认证信息时,

再查一次数据库确保用户当前状态是有效的才允许通过

修改CAS服务的代码

该功能代码改动位置 CentralAuthenticationServiceImpl.java

	// 引入数据库
	private SimpleJdbcTemplate jdbcTemplate;

    public final void setDataSource(final DataSource dataSource) {
        this.jdbcTemplate = new SimpleJdbcTemplate(dataSource);
    }

	// 验证用户的sql
	private String validationSql;

    public void setValidationSql(String validationSql) {
        this.validationSql = validationSql;
    }
    
	// 获取ticket的方法
    public String grantServiceTicket(final String ticketGrantingTicketId,
        final Service service, final Credentials credentials)
        throws TicketException {
        if (credentials != null) {
            ...
        }
        // 增加这一段代码
        else {
            // 从ticket中获取用户认证信息
            Authentication authentication = ticketGrantingTicket.getAuthentication();
            Principal principal = authentication.getPrincipal();
            // 拿到用户名进行数据查询
            String username = principal.getId();
            List<Map<String, Object>> list = this.jdbcTemplate.queryForList(
                    this.validationSql, username);
            if (list == null || list.isEmpty()) {
                // 如果查询不到, 说明用户已被冻结或被删除
                this.ticketRegistry.deleteTicket(ticketGrantingTicket.getId());
                log.info("Token validation failed by query database account_name, token:" + ticketGrantingTicket.getId());
                // 抛出ticket无效异常即可
                throw new InvalidTicketException();
            }
        }
    }

最后将 applicationContext.xml 配置的 centralAuthenticationService Bean

把数据源和 validationSql 的SQL语句配置好

<property name="dataSource" ref="dataSource" />
<property name="validationSql" value="select `name` from `user` where `is_delete` = 0 and `status` = 1 and `name` = ?" />

后话

这里多亏这篇文章的帮助

https://blog.csdn.net/dovejing/article/details/44523545

我用的还是CAS 3.x的版本, 各种xml配置, 如果完全自己调试找出核心代码得吃不少苦头

aileitianshi
关注
专栏目录
springboot集成CAS实现单点登录的示例代码
08-19
SpringBoot集成CAS实现单点登录是一项常见的企业级应用技术,旨在提供用户一次登录即可访问多个系统的便捷体验。CAS(Central Authentication Service)是一个开源的身份验证框架,它允许用户在一个集中的服务器上...
springboot+vue+cas实现单点登录退出
qq_29467891的博客
04-26 2176
*** @description 重写拦截器自定义状态码,实现前后端分离的单点登录*/} //升级cas-client版本后// if(!} else {
CAS实现同帐号当前登录成功踢出前一登录终端
qq_36956015的博客
07-22 617
CAS实现同帐号当前登录成功踢出前一登录终端: https://blog.csdn.net/tian3559060/article/details/80166877
Cas集群cas client登出问题方案
qq_36956015的博客
06-11 723
https://www.cnblogs.com/jason123/p/8618624.html
单点登录解决方案——CAS设置
武汉小喽啰
02-14 563
1. 服务端数据源配置 1.1 从配置文件配置 这种方式比较简单,就是在CAS服务端的WEB-INF目录下的部署上下文配置文件deployerConfigContext.xml中,给id=primaryAuthenticationHandler的bean添加一个属性,如图: 1.2 从数据库读取 从配置文件配置简单方便,但是局限性很大,我们在实际开发中几乎不使用该方式,...
SpringBoot集成单点登录-“被挤下线
chajinglong的专栏
12-18 9282
SpringBoot配置单点登录 前言 你好,未来!上个周末过的还行,逛街逛到腿发软,生活还是有仪式感,一生要待自己待你最亲近的人,周一休息,顺便看了看04版天龙八部,塑造了三位英雄人物,共同点:热血男儿,助人为乐,乔峰大侠气概,段誉风流倜傥,虚竹严于律己,久久思考金庸在写的时候,思想与灵魂是何尝不是伟大,让我也陷入了沉思,久久不能自拔。 中言 前言总会自己乱说一通,然后才能进入主题一些相关而有...
基于Java集成CAS单点登录【接部署即可启用】
12-11
基于JavaCAS单点登录,有服务端的所有源码,将tomcat目录下的所有资源直接拷到Tomcat服务中间件的webapp目录下,阅读tomcat-webapp中的read.txt文档,查看使用说明,适用于第一次开发CAS单点登录的同学们,简单...
Django集成CAS单点登录的方法示例
09-19
### Django集成CAS单点登录详解 #### 一、CAS简介 CAS (Central Authentication Service) 是一种开放源代码的单点登录协议,它提供了一种针对Web应用的安全认证机制。通过CAS用户只需要登录一次就可以访问多个...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现单点登录和权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现单点登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现单点登录和权限控制的功能...
CAS单点登录demo.rar
最新发布
11-13
这个资源是一个CAS(Central Authentication Service)单点登录演示项目,用于展示如何实现基于CAS单点登录系统CAS是一种常用的身份认证和授权解决方案,适用于分布式系统中的用户身份验证。该演示项目将通过...
单点登录实现 Spring_security+CAS
01-20
单点登录(Single Sign-On,简称SSO)是一种在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的技术。Spring Security是Java领域一个强大的安全框架,它提供了全面的安全性解决方案,包括身份...
CAS5.3+windows AD域实现单点登录免身份认证.docx
05-17
CAS 5.3 及 Windows AD 域实现单点...使用 CAS 和 Windows AD 实现单点登录免身份认证可以提高用户体验和系统安全,降低系统成本和维护难度。同时,CAS 和 Windows AD 都是开源的解决方案,降低了系统成本和维护难度。
开源ITSM工具itop接入单点登录框架cas实现步骤.docx
09-12
"itop接入CAS单点登录框架实现步骤" 本文将详细介绍开源ITSM工具iTop...本文详细介绍了iTop与CAS的集成方法,旨在帮助用户快速实现iTop与CAS单点登录功能。该方法已经在作者的单位中应用,证明了其可行性和实用性。
CAS单点登录系统java实现(part_1)
08-26
资源列表(1:cas CAS Server,2:Cas_Client_One 授权系统,3:graduationDesign 用户组织管理系统,4:CAS单点登录论文.doc,5:CAS单点登录文献综述.doc,6:基于CAS用户管理单点登录门户系统ppt.ppt)
sso/cas单点登录Java maven版 含服务端客服端
02-26
SSO(Single Sign-On)是单点登录的缩写,是一种网络用户身份验证的机制,允许用户在一次登录后访问多个应用系统而无需再次验证。CAS(Central Authentication Service)是SSO的一种实现,由耶鲁大学开发并开源,它...
java单点登录强制下线_实现单点登录强制对方下线
weixin_35496861的博客
02-25 860
前些天做了一个网站,客户的要求是实现单点登录,并如果有人在用这个号码登录强制第一个人下线。自己以前看到过这个例子,是将用户登录的信息存储在application之中,登录的时候判断是否由此信息,来实现单点登录。但是这有一个弊端,就是用户必须正常退出(其实应该还有别的方法,只是我暂时还没有想到),下次才能正常登录。但是不可能所有的用户都会想到去点击退出,由此就会有好多的用户登录之后,如果不是正常退...
SpringBoot 集成cas5.3 通过Restful协议请求认证和退出
Tongyao
11-04 2802
前面我们讲解了一些列的CAS文章,对CAS有了很多了解。今天我们讲解一个现在服务常用的REST协议来完成CAS登录、认证,不需要我们手动登录跳转到CAS登录页面就可以完成CAS的一些列操作。 我们知道CAS认证支持包括多种协议去认证,包括CAS、OAuth、SAML1、SAML2、REST Protocol等协议,这里我们采用REST协议去获取TGT,然后获取到TGT后获取到ST,最后拿到ST后再去访问服务。 一、认证服务 首先我们加入Rest服务依赖: <!-- Restful support
springmvc 功能 登出_CAS5.3 单点登录/登出/springboot/springmvc
weixin_36184718的博客
02-22 2736
环境:jdk:1.8cas server:5.3.14 + tomcat 8.5cas client:3.5.1客户端1:springmvc 传统web项目(使用web.xml)客户端2:springboot为了方便,没配置https.如果需要参考上面博客一.CAS 服务端搭建1.下载源码包:cas overlay github地址:https://github.com/apereo/cas-ov...
session和cookie实现用户自动登录退出清除缓存
m0_73402102的博客
03-28 4837
利用session和cookie的缓存机制,实现自动登录,不用多次认证。以及清除缓存功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值