单点登录之CAS简单介绍

最新推荐文章于 2021-03-22 10:34:39 发布
最新推荐文章于 2021-03-22 10:34:39 发布
阅读量174 收藏
点赞数
文章标签: java web.xml
原文链接:http://www.cnblogs.com/iamconan/p/7383631.html
版权
cas官网 http://www.ja-sig.org/products/cas/

ok,现在开始本文的重点内容讲解,先来了解一下cas 实现single sign out的原理,如图所示:



 
                                      图一


                                   图二

第一张图演示了单点登陆的工作原理。
第二张图演示了单点登出的工作原理。

从第一张图中,当一个web浏览器登录到应用服务器时,应用服务器(application)会检测用户的session,如果没有session,则应用服务器会把url跳转到CASserver上,要求用户登录,用户登录成功后,CASserver会记请求的application的url和该用户的sessionId(在应用服务器跳转url时,通过参数传给CASserver)。此时在CAS服务器会种下TGC Cookie值到webbrowser.拥有该TGCCookie的webbrowser可以无需登录进入所有建立sso服务的应用服务器application。

在第二张图中,当一个web浏览器要求登退应用服务器,应用服务器(application)会把url跳转到CAS server上的/cas/logout url资源上,

CAS server接受请求后,会检测用户的TCG Cookie,把对应的session清除,同时会找到所有通过该TGCsso登录的应用服务器URL提交请求,所有的回调请求中,包含一个参数logoutRequest,内容格式如下:

< samlp:LogoutRequest  ID ="[RANDOM ID]"  Version ="2.0"  IssueInstant ="[CURRENT DATE/TIME]" >
< saml:NameID > @NOT_USED@ </ saml:NameID >
< samlp:SessionIndex > [SESSION IDENTIFIER] </ samlp:SessionIndex >
</ samlp:LogoutRequest >


所有收到请求的应用服务器application会解析这个参数,取得sessionId,根据这个Id取得session后,把session删除。
这样就实现单点登出的功能。

知道原理后,下面是结合源代码来讲述一下内部的代码怎么实现的。
首先,要实现single sign out在 应用服务器application端的web.xml要加入以下配置
< filter >
    < filter-name > CAS Single Sign Out Filter </ filter-name >
    < filter-class > org.jasig.cas.client.session.SingleSignOutFilter </ filter-class >
</ filter >

< filter-mapping >
    < filter-name > CAS Single Sign Out Filter </ filter-name >
    < url-pattern >
31       protected   static  SessionMappingStorage getSessionMappingStorage() {
 32           return  SingleSignOutFilter.getSessionMappingStorage();
 33      }
 34  }

接下来,我们来看一下CAS server端回调是怎么实现的
先来看一下配置,我们知道CASserver所有的用户登录,登出操作,都是由CentralAuthenticationServiceImpl对象来管理。
我们就先把到CentralAuthenticationServiceImpl的spring配置,在applicationContext.xml文件中
<!--  CentralAuthenticationService  -->
     < bean  id ="centralAuthenticationService"  class ="org.jasig.cas.CentralAuthenticationServiceImpl"
        p:ticketGrantingTicketExpirationPolicy-ref ="grantingTicketExpirationPolicy"
        p:serviceTicketExpirationPolicy-ref ="serviceTicketExpirationPolicy"
        p:authenticationManager-ref ="authenticationManager"
        p:ticketGrantingTicketUniqueTicketIdGenerator-ref ="ticketGrantingTicketUniqueIdGenerator"
        p:ticketRegistry-ref ="ticketRegistry"
            p:servicesManager-ref ="servicesManager"
            p:persistentIdGenerator-ref ="persistentIdGenerator"
        p:uniqueTicketIdGeneratorsForService-ref ="uniqueIdGeneratorsMap"   />

配置使用了spring2.0的xsd。CentralAuthenticationServiceImpl有一个属性叫uniqueTicketIdGeneratorsForService,它是一个map对象
它的key值是所有实现org.jasig.cas.authentication.principal.Service接口的类名,用于保存Principal对象和进行单点登出回调

application server时使用value值为org.jasig.cas.util.DefaultUniqueTicketIdGenerator对象,用于生成唯一的TGCticket。
该属性引用的uniqueIdGeneratorsMap bean在uniqueIdGenerators.xml配置文件中。
< util:map  id ="uniqueIdGeneratorsMap" >
         < entry
             key ="org.jasig.cas.authentication.principal.SimpleWebApplicationServiceImpl"
            value-ref ="serviceTicketUniqueIdGenerator"   />
         < entry
             key ="org.jasig.cas.support.openid.authentication.principal.OpenIdService"
            value-ref ="serviceTicketUniqueIdGenerator"   />
         < entry
             key ="org.jasig.cas.authentication.principal.SamlService"
            value-ref ="samlServiceTicketUniqueIdGenerator"   />
         < entry
             key ="org.jasig.cas.authentication.principal.GoogleAccountsService"
            value-ref ="serviceTicketUniqueIdGenerator"   />
     </ util:map >

那CentralAuthenticationServiceImpl是怎么调用的呢?
我们跟踪一下代码,在创建ticket的方法 public StringcreateTicketGrantingTicket(final Credentials credentials)中
可以找到以下这样一段代码:
         // 创建 TicketGrantingTicketImpl 实例
             final  TicketGrantingTicket ticketGrantingTicket  =   new  TicketGrantingTicketImpl(
                 this .ticketGrantingTicketUniqueTicketIdGenerator
                    .getNewTicketId(TicketGrantingTicket.PREFIX),
                authentication,  this .ticketGrantingTicketExpirationPolicy);
         // 并把该对象保存到 ticketRegistry中
         this .ticketRegistry.addTicket(ticketGrantingTicket);

上面的代码,看到ticketRegistry对象保存了创建的TicketGrantingTicketImpl对象,下面我们看一下当ticket销毁的时候,会做什么
事情,代码如下:
 1       public   void  destroyTicketGrantingTicket( final  String ticketGrantingTicketId) {
  2          Assert.notNull(ticketGrantingTicketId);
  3 
 4           if  (log.isDebugEnabled()) {
  5              log.debug( " Removing ticket [ "   +  ticketGrantingTicketId
  6                   +   " ] from registry. " );
  7          }
  8       // 从 ticketRegistry对象中,取得TicketGrantingTicket对象
 9           final  TicketGrantingTicket ticket  =  (TicketGrantingTicket)  this .ticketRegistry
 10              .getTicket(ticketGrantingTicketId, TicketGrantingTicket. class );
 11 
12           if  (ticket  ==   null ) {
 13               return ;
 14          }
 15 
16           if  (log.isDebugEnabled()) {
 17              log.debug( " Ticket found.  Expiring and then deleting. " );
 18          }
 19          ticket.expire(); // 调用expire()方法,让ticket过期失效
20           this .ticketRegistry.deleteTicket(ticketGrantingTicketId); // 从ticketRegistry中删除的ticket 对象
21      }

我们看到,它是从 ticketRegistry对象中取得 TicketGrantingTicket对象后,调用expire方法。接下来,要关心的就是expire方法做什么事情
 1       public   synchronized   void  expire() {
  2           this .expired.set( true );
  3          logOutOfServices();
  4      }
  5 
 6       private   void  logOutOfServices() {
  7           for  ( final  Entry < String, Service >  entry :  this .services.entrySet()) {
  8              entry.getValue().logOutOfService(entry.getKey());
  9          }
 10      }

从代码可以看到,它是遍历每个 Service对象,并执行logOutOfService方法,参数是StringsessionIdentifier
现在我们可以对应中,它存放的Service就是在 uniqueIdGeneratorsMap bean定义中的那些实现类

因为logOutOfService方法的实现,所有实现类都是由它们继承的抽象类AbstractWebApplicationService来实现,我们来看一下
AbstractWebApplicationService的logOutOfService方法,就可以最终找出,实现singlesign out的真正实现代码,下面是主要代码片段:

 1     public   synchronized   boolean  logOutOfService( final  String sessionIdentifier) {
  2           if  ( this .loggedOutAlready) {
  3               return   true ;
  4          }
  5 
 6          LOG.debug( " Sending logout request for:  "   +  getId());
  7           // 组装 logoutRequest参数内容
 8           final  String logoutRequest  =   " <samlp:LogoutRequest xmlns:samlp=\ " urn:oasis:names:tc:SAML: 2.0 :protocol\ "  ID=\ ""
  9               +  GENERATOR.getNewTicketId( " LR " )
 10               +   " \ "  Version = \ " 2.0\ "  IssueInstant = \ ""   +  SamlUtils.getCurrentDateAndTime()
 11               +   " \ " >< saml:NameID 
 12 
13  xmlns:saml = \ " urn:oasis:names:tc:SAML:2.0:assertion\ " > @NOT_USED@ </ saml:NameID >< samlp:SessionIndex > "
 14               +  sessionIdentifier  +   " </samlp:SessionIndex></samlp:LogoutRequest> " ;
 15          
 16           this .loggedOutAlready  =   true ;
 17           // 回调所有的application,getOriginalUrl()是取得回调的application url
18           if  ( this .httpClient  !=   null ) {
 19               return   this .httpClient.sendMessageToEndPoint(getOriginalUrl(), logoutRequest);
 20          }
 21          
 22           return   false ;
 23      }

至此,已经通过源代码把 CAS实现 single signout的实现原理和方法完整叙述了一遍,希望对CAS感兴趣的朋友有所帮忙,

转载于:https://www.cnblogs.com/iamconan/p/7383631.html

dianti5444
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
单点登录(二):原理代码分析
Allen
01-10 6832
主要分析: 用户第一次发送请求--->CAS客户端转发至CAS服务器---->CAS服务器返回登录页--->用户登录(输入帐号密码)发送至CAS服务器----->CAS服务器认证------>重定向目标资源。 一.用户第一次发送请求----->CAS客户端转发      1.1 用户首次访问,过滤器拦截      1.2 过滤器doFilter()具体操作
CAS 源码分析 (非proxy模式)
大伟
04-08 200
  一、CAS 基本原理   (3,4,5,9.2,9.3是主要步骤) 第一次访问: 1. 浏览器   发起访问WebAPP 请求:  http://www.web.com/app 2. 客户端  AuthenticationFilter Filter 发现Session中无 Assertion,且URL中无 ticket 变量。生成 service url 变量,并重定向到:  ...
php cas不能登出,CAS 4.1.x 单点登出(退出登录)的原理解析
weixin_29039773的博客
03-22 905
我们在项目中使用了cas作为单点登录的解决方案,当在集成shiro做统一权限控制的时候,发现单点退出登录有坑,所以啃了一下CAS的单点登出的源码,在此分享一下。1、回顾单点登录中一些关键事件在解析CAS单点登出的原理之前,我们先回顾一下在单点登录过程中,CAS服务器和CAS客户端都做了一些什么事,这些事在后面解析单点登出时有助于理解。一般情况下,在项目中使用cas client提供的几个过滤器实现...
WebService 四种发布方式总结
热门推荐
zl的博客
06-08 9万+
WebService 四种发布方式总结 1. CXF方式 CXF与spring搭建webservice是目前最流行的方式,但是传闻cxf与jdk1.5有些不兼容,我没有遇到过,我遇到的问题是cxf与was6.1.1不兼容,表现在cxf必须的jar包“wsdl4j-1.6.2.jar”报错,报的错为: java.lang.IncompatibleClassChangeError,明显
jasig cas单点登录配置笔记之三
rishengcsdn的专栏
09-05 6356
这样配置完成的项目存在一点问题, 首先它没有注册用户的功能,其次它的用户密码是明文密码,我们一般希望它用密文保存用户密码,提高安全性. 为了达到这个目的我们必须改造我们的testWeb1业务和casweb统一登录的配置. 首先看testWeb1项目, 我们新增加了一个register.jsp和一个注册用的servlet:RegServlet,内容如下:
CAS单点登录demo.rar
最新发布
11-13
该演示项目将通过简单而清晰的代码示例,演示CAS单点登录的基本原理、配置步骤以及如何集成CAS客户端到你的应用中。 适用人群: 这个资源适用于具有一定Java编程和Web开发经验的开发人员,特别是那些对单点登录和...
基于Java集成CAS单点登录【接部署即可启用】
12-11
有服务端的所有源码,将tomcat目录下的所有资源直接拷到Tomcat服务中间件的webapp目录下,阅读tomcat-webapp中的read.txt文档,查看使用说明,适用于第一次开发CAS单点登录的同学们,简单易上手。
单点登录CAS方案
07-23
单点登录CAS方案,同时提供CAS+HTTP+Oracle和CAS+HTTPS+Oracle两种方案,亲自测试OK,客户端修改方案自行百度,太简单
CAS单点登录框架整合Spring Security
03-07
CAS 包含两个部分: CAS Server 和 CAS Client ...CAS Client:就是开发过程中的web层, 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。不需要对这个部分进行过多编码,进行简单配置即可。
CAS 登录流程
endercc的专栏
04-12 937
1. login-webflow.xml 2. initialFlowSetupAction     获取TicketGrantingTicketCookie TGT     1. this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request)     2.Cookie cookie = org.springfra
关于Apereo CAS中的几种timeout定义
wdyyeah的博客
10-29 3817
session timeout:  顾名思义,就是session超时时间(CAS中默认配置是5分钟),在CAS中使用了spring workflow来做登录和登出的流程,这些流程中的数据都是存在当前session中的,大家应该看到登录页面表单元素中有lt/execution,这些是在打开登录页面时由login workflow生成,当你提交表单时会与session中的lt/execution进行
未能够识别出目标 ***;票根
u011585248的专栏
08-02 1万+
spring-security cas    未能够识别出目标                未能够识别出目标 'ST-2-gqQSrEpDwAQlHLdkJIEz-cas01.example.org'票根               修改:WEB-INF/spring-configuration/ticketExpirationPolicies.xml中的 标
关于CAS的TGT和Service Ticket的过期策略
为时已晚
05-24 1万+
首先说明一下什么是cas:cas是一套单点登录的框架,利用它可是实现登录一个账号就能访问多个相关系统的功能。它分为客户端Client和服务端Server,只要将开发单点登录的系统集成cas的客户端,然后部署好服务端,就可以实现多系统的单点登录。下面说一下cas的认证流程:1)用户访问cas-client,被拦截跳转到cas-server进行登录,输入正确的用户信息2)登录成功后,cas-serve...
jasig CAS登录验证分析
weixin_34302798的博客
02-23 390
2019独角兽企业重金招聘Python工程师标准>>> ...
cas4.2.7实现其它登陆系统和cas之间的认证,即其他登陆系统登陆后,cas不需要再次登陆,效果跟cas登陆一样
a1833255的博客
11-26 1992
因为cas登陆是流程化的,先修改文件login-webflow.xml,将认证流程改变, 上面是我修改后的代码,需要我们自己在serviceAuthorizationCheck类内判断该用户是否已在其他系统成功登陆,是就走success后续就是cas原有的逻辑,否则就是no(这里就是我们自己新加的逻辑了),接下来我们进入到流程autoLog
CAS研究(四)-登出/logout
yuwenruli的专栏
07-20 1万+
很多童鞋对单点登出不是很理解,下面我们来看看单点登出到底做了什么东西,我们来看看怎么从配置到代码的。1)web.xmlcom.bingo.tfp.web.init.SafeDispatcherServlet cas /logout 从上面可以知道,所有/logout的请求都
单点登录多地踢掉第一个登录的人
chenxiaju5595的博客
08-19 434
在类SendTicketGrantingTicketAction.java中修改的 protectedEventdoExecute(finalRequestContextcontext){ finalStringticketGrantingTicketId=...
SSO CAS单点登录搭建教程:从零开始到实践
本篇教程详细介绍了如何进行SSO(Single Sign-On,统一身份验证)中的CAS(Central Authentication Service,集中认证服务)单点登录的搭建过程。作者花费数小时精心准备,旨在帮助需要学习者掌握这一技术。教程适用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值