SpringSecurity3.X--Cas client 配置之配置session-management遇到的问题

最新推荐文章于 2024-07-09 14:13:47 发布
最新推荐文章于 2024-07-09 14:13:47 发布
阅读量865 收藏 2
点赞数
分类专栏: SpringSecurity Spring 文章标签: spring springsecurity cas

关于“SpringSecurity3.X--Cas client 配置”可以参看SpringSecurity3.X--Cas client 配置

 

直接说问题吧,就是希望同一时间相同的用户只能有一个访问系统,我理所当然的想到了session-management,在使用SpringSecurity2.x时,直接配置如下即可:

 <sec:http entry-point-ref="casProcessingFilterEntryPoint" 
    	access-denied-page="/access/denied.do" 
    	access-decision-manager-ref="accessDecisionManager" auto-config="false">
       …………………………
     <sec:concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false" expired-url="/access/same_login.do" />
 </sec:http>

 也就是说,相同的用户在第二次登录后,那么第一次登录就会失效,需要重新获取认证。

 

在使用SpringSecurity3.X时,我尝试配置如下:

<http entry-point-ref="casEntryPoint" access-decision-manager-ref="accessDecisionManager"
		access-denied-page="/access/denied.do" auto-config="false">
                 …………………………

              <session-management> 
                     <concurrency-control max-sessions="1" expired-url="/access/same_login.do" 
			       error-if-maximum-exceeded="false" /> 
              </session-management> 
		
		<custom-filter position="CAS_FILTER" ref="casFilter" />
		<custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER" />
		<custom-filter ref="singleLogoutFilter" before="CAS_FILTER" />
</http>

 结果发现并没有起作用,查看了一下源码,基本上搞清楚了原因,下面是session管理相关的时序图:

从图中可以看出,验证的关键就是ConcurrentSessionControlStrategy

 

CasAuthenticationFilter继承于AbstractAuthenticationProcessingFilter,可是后者默认使用的不是ConcurrentSessionControlStrategy,而是NullAuthenticatedSessionStrategy,该类什么都没做,所以,上面的配置根本不会起作用,

那么要想使session-management真正起作用,我们该如何做呢?

 

首先,必须为CasAuthenticationFilter注入一个ConcurrentSessionControlStrategy,

然后,ConcurrentSessionControlStrategy和ConcurrentSessionFilter又需要使用相同的SessionRegistryImpl,所以我们只需要将这些bean显示声明即可。

参看了一下SpringSecurity3.X的官方帮助文件,修改配置如下:

<http entry-point-ref="casEntryPoint" access-decision-manager-ref="accessDecisionManager"
		access-denied-page="/access/denied.do" auto-config="false">
		…………………………
		<session-management
			session-authentication-strategy-ref="sessionAuthenticationStrategy" />
		<custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />
		<custom-filter position="CAS_FILTER" ref="casFilter" />
		<custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER" />
		<custom-filter ref="singleLogoutFilter" before="CAS_FILTER" />
	</http>


	<beans:bean id="sessionAuthenticationStrategy"
		class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
		<beans:constructor-arg name="sessionRegistry"
			ref="sessionRegistry" />
		<beans:property name="maximumSessions" value="1" />
	</beans:bean>

	<beans:bean id="sessionRegistry"
		class="org.springframework.security.core.session.SessionRegistryImpl" />
		
		
	<beans:bean id="concurrencyFilter"
		class="org.springframework.security.web.session.ConcurrentSessionFilter">
		<beans:property name="sessionRegistry" ref="sessionRegistry" />
		<beans:property name="expiredUrl" value="/session-expired.htm" />
	</beans:bean>


	<!-- cas 认证过滤器 -->
	<beans:bean id="casFilter"
		class="org.springframework.security.cas.web.CasAuthenticationFilter">
		<beans:property name="authenticationManager" ref="authenticationManager" />
		<beans:property name="authenticationFailureHandler"
			ref="authenticationFailureHandler" />
		<beans:property name="authenticationSuccessHandler"
			ref="authenticationSuccessHandler" />
		<beans:property name="filterProcessesUrl" value="/j_spring_cas_security_check.do" />
		<beans:property name="sessionAuthenticationStrategy"
			ref="sessionAuthenticationStrategy" />
	</beans:bean>
 

 

ok。

hanqunfeng
关注
专栏目录
Spring Security 6.x 系列【45】微服务篇之搭建统一认证服务
记录知识、锤炼自我
05-26 3629
在上篇文档中,我们学习了在微服务架构下,如何搭建统一身份认证,并推荐使用Session管理会话,接下来我们搭建一个微服务项目,并实现分布式环境下的认证功能。
学习笔记:微服务-6.spring zuul + spring security + cas client 实现微服务sso登录
LinBSoft的专栏
12-27 6446
上节架构了spring zuul实现微服务的网页路由,因为zuul是微服务群的统一入口,非常适合在zuul服务上进行统一登录认证,本节实验结合spring zuul +spring security +Apereo cas实现微服务群的统一登录认证 spring security是一个spring的权限认证系统,cas是单位中央认证系统,从中央认证系统认证后,获取一个中央认证系统的身份(本测试中...
java教程之Spring Security系列教程之实现CAS单点登录下篇-搭建CAS客户端
IT教育任姐姐的博客
11-02 1157
一. 搭建CAS客户端 1. 创建新项目 我们在之前的Spring Security项目中,创建一个新的module模块,作为CAS Client项目,如下图。 2. 引入依赖 然后在这个模块的pom.xml文件中,引入相关依赖。 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> &l...
SpringSecurity3.X--Cas client 配置
hanqunfeng的专栏
09-01 185
目录 SpringSecurity3.X--一个简单实现 SpringSecurity3.X--前台与后台登录认证 SpringSecurity3.X--remember-me SpringSecurity3.X--验证码   最近参照springsecury3.x的官方帮助文档,对cas客户端进行了配置,确实与springsecurit...
SpirngSecurity-会话管理(sessionManagement)(三)
最新发布
znjy111的博客
07-09 772
SpringSecurity默认是通过session对用户的登录进行管理的,如果想控制同一时间,只允许用户在一个地方登录,就需要使用SpringSecuritysessionManagement功能。基于上一节的分支,我们新建一个spring-security-session-management分支。
Spring Security集成CAS客户端
songsong_DBB的博客
10-26 2618
在正常的开发过程中,一般会使用spring Security等安全框架来进行登录用户的拦截,因为使用安全框架,可以配置特定的角色访问特定的资源,这里简单说明Sping Security集成CAS的使用 Spring Security集成CAS 建立maven工程,引入springspring security的相关依赖,配置tomcat插件启动项目,端口为9090,并且引入Spring Sec...
CAS Clients 集成 Spring Security
大强博客
02-25 590
CAS Clients概述 CAS客户端也是可以与各种软件平台和应用程序集成的软件包,以便使用或者更多支持的协议与CAS服务器通信。已经开发了支持许多软件平台和产品的CAS客户。 官方客户 .NET CAS客户端 Java CAS客户端 PHP CAS客户端 Apache CAS客户端 其他客户 其他非官方或孵化的CAS客户可以在这里找到。鉴于上述项目是非官方的,不受CAS的直接维护...
SpringSecurity3.X--Cas client 配置配置session-management遇到问题(2)
hanqunfeng的专栏
10-27 165
关于“SpringSecurity3.X--Cas client 配置配置session-management遇到问题(1)”请参看http://hanqunfeng.iteye.com/blog/1217703   接着说,按照前文配置的方式,只能迫使用户第一次访问时跳转到指定的“expiredUrl”,但此时,如果你再次访问系统,你会发现,系统会自动重新登录,并跳转到“authenti...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
CAS - spring-security-cas-client.jar 1.4.1.7. OpenID - spring-security-openid.jar 1.4.2. 获得源代码 2. Security命名空间配置 2.1. 介绍 2.1.1. 命名空间的设计 2.2. 开始使用安全命名空间配置 2.2.1....
CAS客户端与SpringSecurity集成
weixin_44297716的博客
01-04 330
CAS客户端与SpringSecurity集成 注意:以下操作是在springsecurity部署的基础上进行集成,及完成springspringsecurity依赖的引入,还有tomcat的部署,web.xml中关于springsecurity过滤器的配置,还有springsecurity.xml配置文件的创建 一丶集成依赖引入 <dependency> <gro...
spring-security 官方文档 中文版
10-12
- **CAS (spring-security-cas-client.jar)**:提供了与 Central Authentication Service (CAS) 的集成支持。 - **OpenID (spring-security-openid.jar)**:提供了 OpenID 认证支持。 - **获得源代码**:开发者...
Spring Security集成CAS客户端实例
03-02
这是一个Spring Security集成CAS实现单点登录的客户端实例,使用Maven集成开发,项目中使用到的Oframer和otauser(CAS服务端)请至我的资源中寻找下载。
spring security 3.x session-management 会话管理失效
08-03
实现会话控制,权限控制,免登陆的spring security完整项目 博文链接:https://abc08010051.iteye.com/blog/1995886
java培训爆破专栏之Spring Security系列教程之实现CAS单点登录上篇-概述
qf2019的博客
11-01 281
作者:千锋一一哥 前言 从本章节开始,一一哥 会给各位讲解一个很常见也很重要的知识点,就是单点登录!现在的大型分布式项目,基本都会考虑实现单点登录,而且现在网上也有很多单点登录的实现方案、开源项目,但是针对单点登录的实现原理,讲解的并不是很细。你可以参考其他开源案例项目,再结合本系列文章,就可以对单点登录有较为深入的认识。 如果你对单点登录是什么也不知道,那就先看本文,了解单点登录的含义吧。 一. 单点登录 产生背景 很早的时候,一家公司里可能只有一个Server,后来慢慢的Server开始变多了,而每个
spring security cas
u013485144的专栏
10-26 1209
22.3.3 Authenticating to a Stateless Service with CAS Thissection describes how to authenticate to a service using CAS. In other words,this section discusses how to setup a client that uses a service
spring securitycas client集成(无http标签方式)
weixin_34043301的博客
08-04 84
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security 3.x 配置与使用详解
Spring Security 3 配置和使用 Spring Security是一个基于Spring框架的安全框架,提供了强大的身份验证和授权机制。本文将详细介绍Spring Security 3的配置和使用方法。 下载和添加依赖 首先,需要从Spring ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值