CAS单点登录源码解析之【单点登出】

最新推荐文章于 2024-02-24 17:05:19 发布
最新推荐文章于 2024-02-24 17:05:19 发布
阅读量5.4k 收藏 3
点赞数 1
分类专栏: CAS单点登录 文章标签: java 源码 CAS 单点登录 单点登出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dovejing/article/details/44675647
版权

前期准备

已经搭建好了集成了CAS客户端的应用系统和CAS服务器

1.应用系统webapp(http://127.0.0.1:8090/webapp/main.do)

2.CAS单点登录服务器端(http://127.0.0.1:8081/cas-server/)

        本次讨论包括CAS单点登录客户端的部分源码,以及在此基础上进行单点登出二次开发,因此需要修改部分CAS客户端的源码,源码部分的修改在下面进行讨论。关于CAS客户端和服务器端的源码分析,请参考另外两篇文章

CAS客户端:http://blog.csdn.net/dovejing/article/details/44426547

CAS服务器端:http://blog.csdn.net/dovejing/article/details/44523545

应用系统web.xml部分代码

<listener>
	<listener-class>com.master.client.listener.SingleSignOutHttpSessionListener</listener-class>
</listener>
<filter>
	<filter-name>CAS Single Sign Out Filter</filter-name>
	<filter-class>com.master.client.filter.SingleSignOutFilter</filter-class>
</filter>

应用系统登出方法logout

public String logout(HttpSession session, HttpServletResponse response,
		HttpServletRequest request) {
	try {
		Properties conf = PropertiesUtil.getConfigProperties();
		String service = ssoProperties.getProperty("service");
		String logoutUrl = ssoProperties.getProperty("casServerLogoutUrl");
		String serverName = ssoProperties.getProperty("serverName");
		//生成CAS服务器端的登出URL
		String serviceUrl = CommonUtils.constructServiceUrl(request, response, service, serverName, "ticket", true);

		response.sendRedirect(logoutUrl + "?service=" + URLEncoder.encode(serviceUrl, "utf-8"));
	} catch (URISyntaxException e) {
		e.printStackTrace();
	} catch (UnsupportedEncodingException e) {
		e.printStackTrace();
	} catch (IOException e) {
		e.printStackTrace();
	}
		
	return null;
}

当我们在应用系统中,执行注销或退出操作时,会执行logout方法。应用系统登出方法logout要做是获取单点登录的配置文件(参考http://blog.csdn.net/dovejing/article/details/44426547),获取service、logoutUrl和serverName参数。生成CAS服务器端的登出URL(http://127.0.0.1:8081/cas-server/logout?service=http://127.0.0.1:8090/webapp/main.do),response重定向到CAS服务器端的登出URL。

CAS服务器端cas-server.xml部分代码

<bean id="handlerMappingC" class="org.springframework.web.servlet.handler.SimpleUrlHandlerMapping">
	<property name="mappings">
		<props>
			<prop key="/logout">logoutController</prop><!-- 登出 -->
			<prop key="/serviceValidate">serviceValidateController</prop>
			<prop key="/validate">legacyValidateController</prop>
			<prop key="/proxy">proxyController</prop>
			<prop key="/proxyValidate">proxyValidateController</prop>
			<prop key="/samlValidate">samlValidateController</prop>
			<prop key="/services/add.html">addRegisteredServiceSimpleFormController</prop>
			<prop key="/services/edit.html">editRegisteredServiceSimpleFormController</prop>
			<prop key="/services/loggedOut.html">serviceLogoutViewController</prop>
			<prop key="/services/viewStatistics.html">viewStatisticsController</prop>
			<prop key="/services/*">manageRegisteredServicesMultiActionController</prop>
			<prop key="/openid/*">openIdProviderController</prop>
			<prop key="/authorizationFailure.html">passThroughController</prop>
			<prop key="/403.html">passThroughController</prop>
			<prop key="/status">healthCheckController</prop>
			<prop key="/error">extErrorController</prop>
		</props>
	</property>
	<property name="alwaysUseFullPath" value="true" />
</bean>
logoutController配置信息 
<bean id="logoutController" class="org.jasig.cas.web.LogoutController"
	p:centralAuthenticationService-ref="centralAuthenticationService"
	p:logoutView="casLogoutView" p:warnCookieGenerator-ref="warnCookieGenerator"
	p:ticketGrantingTicketCookieGenerator-ref="ticketGrantingTicketCookieGenerator"
	p:servicesManager-ref="servicesManager" p:followServiceRedirects="${cas.logout.followServiceRedirects:true}" />

根据配置信息,当CAS单点登录服务器端截获http://127.0.0.1:8081/cas-server/logout?service=http://127.0.0.1:8090/webapp/main.do链接时,会进入到LogoutController的handleRequestInternal方法。

LogoutController的handleRequestInternal方法

protected ModelAndView handleRequestInternal(
	final HttpServletRequest request, final HttpServletResponse response)
	throws Exception {
	//获取TGT
	final String ticketGrantingTicketId = this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request);
	//获取service
	final String service = request.getParameter("service");
        
	//如果TGT不为空
	if (ticketGrantingTicketId != null) {
		//销毁TGT
		this.centralAuthenticationService.destroyTicketGrantingTicket(ticketGrantingTicketId);
		//销毁TGTcookie
		this.ticketGrantingTicketCookieGenerator.removeCookie(response);
		//销毁warnCookieValue
		this.warnCookieGenerator.removeCookie(response);
	}

	//如果service不会空
	if (this.followServiceRedirects && service != null) {
		final RegisteredService rService = this.servicesManager.findServiceBy(new SimpleWebApplicationServiceImpl(service));

		if (rService != null && rService.isEnabled()) {
			//跳转到service
			return new ModelAndView(new RedirectView(service));
		}
	}
	
	return new ModelAndView(this.logoutView);
}
LogoutController的handleRequestInternal要做是从request的cookies中获取TGC,从request中获取service,同时销毁服务器缓存的TGT和response中的TGC。 并跳转到应用系统的service(http://127.0.0.1:8090/webapp/main.do)页面。

CentralAuthenticationServiceImpl的destroyTicketGrantingTicket方法

public void destroyTicketGrantingTicket(final String ticketGrantingTicketId) {
    Assert.notNull(ticketGrantingTicketId);

    if (log.isDebugEnabled()) {
            log.debug("Removing ticket [" + ticketGrantingTicketId + "] from registry.");
    }
    final TicketGrantingTicket ticket = (TicketGrantingTicket) this.ticketRegistry.getTicket(ticketGrantingTicketId, 
		TicketGrantingTicket.class);

    if (ticket == null) {
        return;
    }

    if (log.isDebugEnabled()) {
        log.debug("Ticket found.  Expiring and then deleting.");
    }
    ticket.expire();
    this.ticketRegistry.deleteTicket(ticketGrantingTicketId);
}
之前在CAS服务器端创建TGT的时候,我们把TGT放到了ticketRegistry对象中,所以此时需要对ticketRegistry中的TGT进行操作,从ticketRegistry对象中获取TGT,并执行TGT的expire方法,设置TGT的属性为过期,expire方法同会时执行logOutOfServices方法。

TicketGrantingTicket的expire方法和logOutOfServices方法

public synchronized void expire() {
    this.expired = true;
    logOutOfServices();
}

private void logOutOfServices() {
    for (final Entry<String, Service> entry : this.services.entrySet()) {

        if (!entry.getValue().logOutOfService(entry.getKey())) {
            LOG.warn("Logout message not sent to [" + entry.getValue().getId() + "]; Continuing processing...");   
        }
    }
}
logOutOfServices方法会 循环所有的Service(AbstractWebApplicationService实现类),并执行logOutOfService方法。

AbstractWebApplicationService的logOutOfServices方法

public synchronized boolean logOutOfService(final String sessionIdentifier) {
    if (this.loggedOutAlready) {
		return true;
    }

    LOG.debug("Sending logout request for: " + getId());

    final String logoutRequest = "<samlp:LogoutRequest xmlns:samlp=\"urn:oasis:names:tc:SAML:2.0:protocol\" ID=\""
        + GENERATOR.getNewTicketId("LR")
        + "\" Version=\"2.0\" IssueInstant=\"" + SamlUtils.getCurrentDateAndTime()
        + "\"><saml:NameID xmlns:saml=\"urn:oasis:names:tc:SAML:2.0:assertion\">@NOT_USED@</saml:NameID><samlp:SessionIndex>"
        + sessionIdentifier + "</samlp:SessionIndex></samlp:LogoutRequest>";
        
    this.loggedOutAlready = true;
        
    if (this.httpClient != null) {
        return this.httpClient.sendMessageToEndPoint(getOriginalUrl(), logoutRequest, true);
    }
        
    return false;
}

logOutOfService会构造logoutRequest对象,同时执行HttpClient的sendMessageToEndPoint方法访问客户端,此时,客户端的过滤器会拦截这个请求,并对logoutRequest进行解析,获取sessionIndex(sessionIdentifier),并根据sessionIndex销毁session信息。

SingleSignOutFilter的doFilter方法

public void doFilter(ServletRequest servletRequest,
		ServletResponse servletResponse, FilterChain filterChain)
		throws IOException, ServletException {
	HttpServletRequest request = (HttpServletRequest) servletRequest;
	//request是否有ticket
	if (handler.isTokenRequest(request)) {
		//sessionMappingStorage记录session。
		handler.recordSession(request);
	} else {
		//request是否有logoutRequest
		if (handler.isLogoutRequest(request)) {
			//sessionMappingStorag注销session。
			handler.destroySession(request);
			//不执行后续过滤器 
			return;
		}
		this.log.trace("Ignoring URI " + request.getRequestURI());
	}

	filterChain.doFilter(servletRequest, servletResponse);
}

SingleSignOutFilter的doFilter方法,要做的是如果request有ticket参数,则记录session到sessionMappingStorage中,执行后续过滤器。如果request有logoutRequest参数,则从sessionMappingStorage销毁session,不执行后续过滤器。

SingleSignOutHttpSessionListener类源码

private SessionMappingStorage sessionMappingStorage;

public void sessionCreated(final HttpSessionEvent event) {
	// nothing to do at the moment
}
public void sessionDestroyed(final HttpSessionEvent event) {
	if (sessionMappingStorage == null) {
		sessionMappingStorage = getSessionMappingStorage();
	}
	final HttpSession session = event.getSession();
	//从sessionMappingStorage删除session
	sessionMappingStorage.removeBySessionById(session.getId());
}

protected static SessionMappingStorage getSessionMappingStorage() {
	return SingleSignOutFilter.getSingleSignOutHandler().getSessionMappingStorage();
}
当session销毁时,会触发SingleSignOutHttpSessionListener类 (父类HttpSessionListener)的销毁事件,此时,sessionDestroyed方法会从sessionMappingStorage中删除session信息。 完成之后,会继续执行LogoutController的handleRequestInternal方法,并跳转到应用系统的service(http://127.0.0.1:8090/webapp/main.do)页面。

至此,CAS的单点登出操作流程已经完成,正常情况下会显示CAS的登录页面。

JMasterJ
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CAS单点登录demo.rar
11-13
这个资源是一个CAS(Central Authentication Service)单点登录演示项目,用于展示如何实现基于CAS单点登录系统。CAS是一种常用的身份认证和授权解决方案,适用于分布式系统中的用户身份验证。该演示项目将通过...
cas服务器源码,Cas服务端源码解析
weixin_31467557的博客
08-01 1275
1.系统启动启动的配置类:CasSupportActionsConfiguration启动的时候会初始化系列action,比较典型的action如下:action名称-实际类型authenticationViaFormAction-InitialAuthenticationActionserviceAuthorizationCheck-ServiceAuthorizationChecksendT...
CAS SSO 单点登录框架 学习
chunao7462的博客
02-28 257
1.了解单点登录 SSO 主要特点是: SSO 应用之间使用 Web 协议(如 HTTPS) ,并且只有一个登录入口. SSO 的体系中有下面三种角色: 1) User(多个) 2) Web 应用(多个) 3) SSO 认证中心(一个) 2.SSO 实现包含以下三个原则 ...
单点登录单点退出
最新发布
小汁的博客
02-24 406
单点登录单点退出
单点登录 cas 设置回调地址_cas客户端流程详解(源码解析单点登录
weixin_39607240的博客
11-21 1180
博主之前一直使用了cas客户端进行用户的单点登录操作,决定进行源码分析来看cas的整个流程,以便以后出现了问题还不知道是什么原因导致的cas主要的形式就是通过过滤器的形式来实现的,来,贴上示例配置: <listener> <listener-class>org.jasig.cas.client.sessio...
CAS单点登录源码解析之【服务器端】
热门推荐
JMaster的专栏
03-21 2万+
前期准备: 1.cas-server-3.5.2-release.zip 2.应用系统webapp1(http://127.0.0.1:8090/webapp1/main.do) 3.应用系统webapp2(http://127.0.0.1:8091/webapp2/main.do) 4.CAS单点登录服务器端(http://127.0.0.1:8081/cas-server/)
CAS单点登出,调整CAS源码,实现前后端分离单点登出、清除redis、shiro登录状态
左疼右疼的专栏
05-27 2167
单点登出,调整CAS源码,实现清除redis、shiro登录状态。
单点登录-服务端cas(mac)
WOSHIKJ123的博客
10-23 848
mac上单点登录服务端cas的部署流程;mac上用keytool生成密钥thekeystore文件的流程;部署cas报错原因及解决方法。
CAS 5.2.x 单点登录 - 实现原理及源码浅析
weixin_34244102的博客
03-26 694
上一篇文章简单介绍了 CAS 5.2.2 在本地开发环境中搭建服务端和客户端,对单点登录过程有了一个直观的认识之后,本篇将探讨 CAS 单点登录的实现原理。 一、Session 和 Cookie HTTP 是无状态协议,客户端与服务端之间的每一次通讯都是独立的,而会话机制可以让服务端鉴别每次通讯过程中的客户端是否是同一个,从而保证业务的关...
cas服务器源码,单点登录CAS系列第01节之服务端搭建及源码导入IDE
weixin_35241897的博客
08-01 428
简介谈到单点登录(SSO:Single Sign On),最出名的框架,莫过于CAS(Central Authentication Service)服务端:本系列文章全部基于目前最新的CAS-4.0.3客户端:目前CASJava客户端官方最新版本是3.4.0,出于安全考虑应立即升级到该版本(它是在2015-07-21发布的)注意:自从3.1.11开始,maven2的groupId已经变为org....
CAS单点登录服务端部署包
08-26
CAS 是 Central Authentication Service 的缩写 —— 中央认证服务,一种独立开放指令协议,是 Yale 大学发起的一个企业级开源项目,旨在为 Web 应用系统提供一种可靠的 SSO 解决方案。 CAS 支持以下特性: CAS v1, ...
springboot集成CAS实现单点登录的示例代码
08-19
主要介绍了springboot集成CAS实现单点登录的示例代码,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
cas单点登出的3个类
10-09
CAS单点登出问题及解决 二 (文章摘自笔者发在自己公司内部论坛的文章:谢绝转载)
基于Java集成CAS单点登录【接部署即可启用】
12-11
基于JavaCAS单点登录,有服务端的所有源码,将tomcat目录下的所有资源直接拷到Tomcat服务中间件的webapp目录下,阅读tomcat-webapp中的read.txt文档,查看使用说明,适用于第一次开发CAS单点登录的同学们,简单...
CAS单点登录源码解析之【客户端】
JMaster的专栏
03-18 1万+
前期准备: 1.cas-client-core-3.2.1.jar 2.cas-client-3.2.1-release.zip 3.应用系统webapp(http://127.0.0.1:8090/webapp/main.do) 4.CAS单点登录服务器端(http://127.0.0.1:8081/cas-server/)         本次讨论包括CAS单点登录客户端的部分源
CAS单点登录源码解析之【用户认证】
JMaster的专栏
03-30 4350
前期准备 已经搭建好了集成了CAS客户端的应用系统和CAS服务器 1.应用系统webapp(http://127.0.0.1:8090/webapp/main.do) 2.CAS单点登录服务器端(http://127.0.0.1:8081/cas-server/)         本次讨论包括CAS单点登录服务器端的部分源码,以及在此基础上进行用户认证二次开发,因此需要修改部分CAS
CAS单点登录源码解析【目录】
JMaster的专栏
04-09 2146
下面对CAS单点登录涉及到的知识点进行整理,以方便大家和自己阅读! CAS单点登录源码解析之【客户端】CAS单点登录源码解析之【服务器端】CAS单点登录源码解析之【单点登出CAS单点登录源码解析之【用户认证】CAS单点登录源码解析之【集成新浪腾讯微博】
CAS单点登录源码解析之【集成新浪腾讯微博】
JMaster的专栏
04-01 1896
前期准备 已经搭建好了集成了CAS客户端的应用系统和CAS服务器 1.应用系统webapp(http://127.0.0.1:8090/webapp/main.do) 2.CAS单点登录服务器端(http://127.0.0.1:8081/cas-server/)         本次讨论包括CAS单点登录服务器端的部分源码,以及在此基础上进行新浪微博和腾讯微博集成的二次开发,因此需要修改
cas单点登出实现原理
08-18
需要注意的是,CAS单点登出的实现需要客户端应用程序和CAS服务器之间进行通信,以便将登出请求传递给所有已登录的应用程序。因此,客户端应用程序需要正确配置CAS服务器的地址和认证密钥,以确保通信的安全性和有效...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值