CAS的logout问题

最新推荐文章于 2021-03-04 10:02:23 发布
最新推荐文章于 2021-03-04 10:02:23 发布
阅读量1k 收藏 3
点赞数
分类专栏: CAS 文章标签: IE Web 应用服务器 脚本 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/echoetang/article/details/83486245
版权

今天使用CAS部署实现了单点登录,扩展了界面,也扩展了登陆认证,但是在logout的时候发现一些问题:

 

前提:两个web应用web1和web2,一个CAS服务端casserver,本机域名:www.mycas.com

 

问题一:

1.登录了web1,redirect到casserver,casserver认证后,再redirect到web1;

2.http方式 lougout casserver,即http://www.mycas.com:8080/cas/lougout,显示logout成功;

3.访问web1,web2,还是不用验证就能访问,即相当于注销没用;

4.原因是你不通过https来注销,casserver无法"杀"掉它通过https发给你的TGC Cookie,所以你可以关闭浏览器注销.

  

问题二:

1.登录了web1,redirect到casserver,casserver认证后,再redirect到web1;

2.https方式 lougout casserver1,即https://www.mycas.com:8443/cas/lougout,显示logout成功

3.访问web1不用验证就能访问,但是访问web2的时候就无法访问了,重定向到casserver的登录界面;

4原因是你已经能够访问的东西可以继续访问,CASLogout不能阻止你访问web1,它只能阻止你访问web2,因为你已经被允许访问web1,而web2则还没有,如果你在(第一种情况)的时候,顺带也访问web2,那么你的注销将毫无作用了,CAS无法阻止你访问这两个web,因为你有Service Ticket。

 

如果你认为Logout就是退出系统,那时不正确的,因为CAS Logout的作用不是这样,它的作用是阻止你继续通过TGC(它简单地清除了IE的TGC Cookie)来获取ST,阻止你获取通向其他web应用的Ticket。所以,用完web1的时候,注销,然后再关闭掉IE就彻底Logout了。

 

另外也可以增加JS脚本,在logout时将对应的jsessionid清空;另外注销地址要考虑登录时是否有使用HTTPS,登录时使用了HTTPS,则注销时一样要使用HTTPS

 

(By:Gxmis-alextang)

 

echoetang
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java cas logout无效_CAS 单点登出失效的问题(源码跟踪)
weixin_32126843的博客
02-16 1012
一、环境说明服务端:cas-server-3.5.2客户端:cas-client-3.2.1+spring mvc说明:服务端与客户端均是走的Https客户端配置文件:applicationContext-cas.xmlhttp://www.springframework.org/schema/context http://www.springframework.org/schema/contex...
CAS logout 解决方案
baalwolf
05-23 1791
CAS logout的时候,默认是会重定向到cas server端的logout页面。 现在的需求是重定向到登录页面。 在应用中, 我还遇到直接ogout(只做清空session, cookie), 而不去重定向到caslogout页面,这种情况下: 如果不关闭浏览器, 直接再次输入Application的URL, 会绕过CAS认证,照常登入。     吃问题困扰了几天,看了一下C...
解释CAS Logout问题
David.turing's Security Blog
09-07 417
CAS Logout是一个非常费解的问题,广州UG版,网友不停问为什么CAS Logout后,仍然能够访问应用?http://dev2dev.bea.com.cn/bbs/thread.jspa?forumID=29304&threadID=37715&messageID=221727#221727假设有webapp1, webapp2, cas server,webapp1, w...
CAS Logout 通知所有登录客户端销毁Session
10-25 768
具体通知由org.jasig.cas.authentication.principal.AbstractWebApplicationService发出。logOutOfService方法生成发送消息,然后由org.jasig.cas.util.HttpClient的sendMessageToEndPoint方法发出。public boolean sendMessageToEndPoint...
CAS研究(四)-登出/logout
kongls08的专栏
07-02 5563
很多童鞋对单点登出不是很理解,下面我们来看看单点登出到底做了什么东西, 我们来看看怎么从配置到代码的。 1)web.xml com.bingo.tfp.web.init.SafeDispatcherServlet cas /logout 从上面可以知道,所有/logout的请求都交给SafeDispatcherServlet去分发了,查看代码可以知道这个Servlet只
CAS配置logout及配置http
Xinghaiguzhou的专栏
04-04 2757
cas client官网文档:https://github.com/Jasig/java-cas-client 一、CAS配置logout   cas提供的默认client样例,不带有logout配置,及当sso serverlogout的时候客户端并不会登出,而可以继续使用。 需要如下配置使当server端登出的时候,SingleSignOutFilter会处理server发给cl...
phpCAS源码以及调用示例(redis管理session,解决无法logout问题
04-04
本文将深入探讨phpCAS的源码和调用示例,特别是在使用Redis管理session以及解决无法正常logout问题方面的应用。 首先,理解phpCAS的工作原理至关重要。phpCAS是一个基于PHP的客户端库,它遵循CAS协议与CAS服务器...
cas-overlay
01-18
CAS-Overlay不仅可以用于简单的配置更改,还可以实现更高级的扩展,比如集成额外的安全机制(如OAuth、OpenID Connect)、添加自定义服务验证逻辑、实现单点登出(Single Logout,SLO)等。 6. **版本管理**: ...
cas client核心jar文件
03-06
-- CAS logout--> <bean id="logout" class="org.apache.shiro.web.filter.authc.LogoutFilter"> ${cas.logout.url}"/> </bean> <!-- CAS认证过滤器 --> ...
CAS客户端php版
10-30
6. 当用户完成会话时,记得调用`phpCAS::logout()`以结束CAS会话并清理cookie。 参考链接中的博客文章(http://blog.csdn.net/xiangyuanhong08/article/details/78390664),作者详细介绍了如何在实际项目中使用这...
CAS客户端JAR包版本3.3.3
12-13
<param-value>http://192.168.156.120:8080/cas/logout</param-value><!--server cas 地址--> <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 --> org.jasig.cas.client.session....
CAS logout的一个解决方案
李哥在javaeye
06-18 508
CAS logout的时候,默认是会重定向到cas server端的logout页面。 现在的需求是重定向到登录页面。 在应用中, 我还遇到直接ogout(只做清空session, cookie), 而不去重定向到caslogout页面,这种情况下: 如果不关闭浏览器, 直接再次输入Application的URL, 会绕过CAS认证,照常登入。     吃问题困扰了几天,看了一下C...
java cas logout无效_解释CAS Logout问题(转)
weixin_30467199的博客
03-04 378
原文:http://www.blogjava.net/security/archive/2006/09/07/CAS_Logout_Problem.html 假设有webapp1, webapp2, cas server,webapp1, webapp2均受cas server保护 首先,我在这里简单解释一下: 第1种不能logout的情况: 1)登录了WebApp1,redirect到caser...
java cas logout无效_java – CAS单点注销无效
weixin_39840235的博客
02-16 359
我正在通过CAS在Java EE环境中实现单点登录单一注销.在身份验证方面,我有cas-server-webapp v4.0.1.然后是2个简单的Java Spring MVC web应用程序和cas-client-corev3.1.10.没有关于单点登录的问题.如果我访问/ app1,我将被重定向到cas-server-webapp中的cas登录页面.用户传递输入后,我被重定向到/ app1正确...
cas单点登录退出失效解决方法
qq_34332207的博客
11-17 7491
在本地集成cas单点登录,原先使用3.5版本,全部跑通,后来看了cas官网发现现在已经有了6.0版本了,3.5版本太老了,于是下了5.2.0版本,结果发现配置等差距太大了,一点点的摸索,登录搞定了,退出始终不行,调用caslogout虽然页面调到了注销页面,但是系统实际上没有注销,还是处于登录页,这个问题纠结了我两天时间没解决,最后看了cas源码,发现退出的时候cas在获取所有已经登录的客户端的...
cas 单点登录_单点登录(二)| OAuth 授权框架及 CAS 在为 Web 应用系统提供的解决方案实践...
weixin_39640573的博客
11-28 1027
作者:阿东微信公众号:杰哥的IT之旅(ID:Jake_Internet)一、OAuth 介绍OAuth2是一个授权框架,或称为授权标准,可以使第三方应用程序或客户端获得对http服务上用户账号信息的有限访问权限。OAuth2通过将用户身份验证委派给托管用户账户的服务以及授权客户端访问用户账户进行工作上。OAuth2可以为web应用和桌面应用以及移动应用提供授权流程。角色OAuth标准定义...
登出(logout.jsp) - Cookie清除无效问题
liu_chenglong的博客
07-11 2760
最近敲代码搞了一个登出功能,之前有做过但历史悠久,所以在开发的时候遇到个问题,一直无法解决。就是 Cookie清除无效问题 。先看一下错误的写法: //清除cookie: Cookie[] cookies = request.getCookies(); if(cookies!=null &amp;&amp; cookies.length&gt;=1){ for(Cookie cookie:coo...
退出操作logout.jsp
huangcaiyan
07-25 1186
4、退出操作logout.jsp 当单击欢迎页面中的"退出"按钮时,会跳转到logout.jsp执行退出操作。它要做两件事,一个是清空Session中保存的用户信息,一个是返回到登录页面login.jsp。代码如程序4-7所示。 程序4-7 退出操作logout.jsp ...
cas logout以后转到原登录页
fish的专栏
12-10 1731
如果不想用cas默认的log out页面,而是跳转到自己的登陆页,可以采用以下方式: 修改cas-server-webapp中的webapp/WEB-INF/cas-servlet.xml 将 即: <bean id="logoutController" class="org.jasig.cas.web.LogoutController" p:centralAuthenti
cas logout
最新发布
09-07
您想要了解如何在CSDN上进行注销(logout)吗?...您只需要按照以下步骤操作: ... ... 3. 在弹出的下拉菜单中,找到“注销”(Logout)选项并点击它。 ...这样,您就会从CSDN上注销(logout...如果您有任何其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值