源代码解读Cas实现单点登出(single sign out)功能实现原理

最新推荐文章于 2022-06-17 11:10:21 发布
最新推荐文章于 2022-06-17 11:10:21 发布
阅读量133 收藏
点赞数
分类专栏: sso 文章标签: 应用服务器 SSO Bean 配置管理 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_14504/article/details/81759346
版权

关于Cas实现单点登入(single sing on)功能的文章在网上介绍的比较多,想必大家多多少少都已经有所了解,在此就不再做具体介绍。如果不清楚的,那只能等我把single sign on这块整理出来后再了解了。当然去cas官方网站也是有很多的文章进行介绍。cas官网http://www.ja-sig.org/products/cas/

ok,现在开始本文的重点内容讲解,先来了解一下cas 实现single sign out的原理,如图所示:



                                        图一


                                    图二

第一张图演示了单点登陆的工作原理。
第二张图演示了单点登出的工作原理。

从第一张图中,当一个web浏览器登录到应用服务器时,应用服务器(application)会检测用户的session,如果没有session,则应 用服务器会把url跳转到CAS server上,要求用户登录,用户登录成功后,CAS server会记请求的application的url和该用户的sessionId(在应用服务器跳转url时,通过参数传给CAS server)。此时在CAS服务器会种下TGC Cookie值到webbrowser.拥有该TGC Cookie的webbrowser可以无需登录进入所有建立sso服务的应用服务器application。

在第二张图中,当一个web浏览器要求登退应用服务器,应用服务器(application)会把url跳转到CAS server上的 /cas/logout url资源上,

CAS server接受请求后,会检测用户的TCG Cookie,把对应的session清除,同时会找到所有通过该TGC sso登录的应用服务器URL提交请求,所有的回调请求中,包含一个参数logoutRequest,内容格式如下:

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> < samlp:LogoutRequest  ID ="[RANDOM ID]"  Version ="2.0"  IssueInstant ="[CURRENT DATE/TIME]" >
< saml:NameID > @NOT_USED@ </ saml:NameID >
< samlp:SessionIndex > [SESSION IDENTIFIER] </ samlp:SessionIndex >
</ samlp:LogoutRequest >



所有收到请求的应用服务器application会解析这个参数,取得sessionId,根据这个Id取得session后,把session删除。
这样就实现单点登录的功能。

知道原理后,下面是结合源代码来讲述一下内部的代码怎么实现的。
首先,要实现single sign out在 应用服务器application端的web.xml要加入以下配置

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> < filter >
    < filter-name > CAS Single Sign Out Filter </ filter-name >
    < filter-class > org.jasig.cas.client.session.SingleSignOutFilter </ filter-class >
</ filter >

< filter-mapping >
    < filter-name > CAS Single Sign Out Filter </ filter-name >
    < url-pattern > /* </ url-pattern >
</ filter-mapping >

< listener >
     < listener-class > org.jasig.cas.client.session.SingleSignOutHttpSessionListener </ listener-class >
</ listener >


注:如果有配置CAS client Filter,则CAS Single Sign Out Filter 必须要放到CAS client Filter之前。

配置部分的目的是在CAS server回调所有的application进行单点登出操作的时候,需要这个filter来实现session清楚。

主要代码如下:
org.jasig.cas.client.session.SingleSignOutFilter

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> -->  1   public   void  doFilter( final  ServletRequest servletRequest,  final  ServletResponse servletResponse,  final  FilterChain      
  2  
 3   filterChain)  throws  IOException, ServletException {
  4            final  HttpServletRequest request  =  (HttpServletRequest) servletRequest;
  5  
 6            if  ( " POST " .equals(request.getMethod())) {
  7                final  String logoutRequest  =  request.getParameter( " logoutRequest " );
  8  
 9                if  (CommonUtils.isNotBlank(logoutRequest)) {
 10  
11                    if  (log.isTraceEnabled()) {
 12                       log.trace ( " Logout request=[ "   +  logoutRequest  +   " ] " );
 13                   }
 14                    // 从xml中解析 SessionIndex key值
15                    final  String sessionIdentifier  =  XmlUtils.getTextForElement(logoutRequest,  " SessionIndex " );
 16  
17                    if  (CommonUtils.isNotBlank(sessionIdentifier)) {
 18                            // 根据sessionId取得session对象
19                        final  HttpSession session  =  SESSION_MAPPING_STORAGE.removeSessionByMappingId(sessionIdentifier);
 20  
21                        if  (session  !=   null ) {
 22                           String sessionID  =  session.getId();
 23  
24                            if  (log.isDebugEnabled()) {
 25                               log.debug ( " Invalidating session [ "   +  sessionID  +   " ] for ST [ "   +  sessionIdentifier  +   " ] " );
 26                           }
 27                           
 28                            try  {
 29                    // 让session失效
30                               session.invalidate();
 31                           }  catch  ( final  IllegalStateException e) {
 32                               log.debug(e,e);
 33                           }
 34                       }
 35                      return ;
 36                   }
 37               }
 38           }  else  { // get方式 表示登录,把session对象放到SESSION_MAPPING_STORAGE(map对象中)
39                final  String artifact  =  request.getParameter( this .artifactParameterName);
 40                final  HttpSession session  =  request.getSession();
 41               
 42                if  (log.isDebugEnabled()  &&  session  !=   null ) {
 43                   log.debug( " Storing session identifier for  "   +  session.getId());
 44               }
 45                if  (CommonUtils.isNotBlank(artifact)) {
 46                   SESSION_MAPPING_STORAGE.addSessionById(artifact, session);
 47               }
 48           }
 49  
50           filterChain.doFilter(servletRequest, servletResponse);
 51       }


SingleSignOutHttpSessionListener实现了javax.servlet.http.HttpSessionListener接口,用于监听session销毁事件

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> -->  1   public   final   class  SingleSignOutHttpSessionListener  implements  HttpSessionListener {
  2  
 3        private  Log log  =  LogFactory.getLog(getClass());
  4  
 5        private  SessionMappingStorage SESSION_MAPPING_STORAGE;
  6       
  7        public   void  sessionCreated( final  HttpSessionEvent event) {
  8            //  nothing to do at the moment
 9       }
 10  
11        // session销毁时
12        public   void  sessionDestroyed( final  HttpSessionEvent event) {
 13            if  (SESSION_MAPPING_STORAGE  ==   null ) { // 如果为空,创建一个sessionMappingStorage 对象
14               SESSION_MAPPING_STORAGE  =  getSessionMappingStorage();
 15           }
 16            final  HttpSession session  =  event.getSession(); // 取得当然要销毁的session对象
17           
 18            if  (log.isDebugEnabled()) {
 19               log.debug( " Removing HttpSession:  "   +  session.getId());
 20           }
 21            // 从SESSION_MAPPING_STORAGE map根据sessionId移去session对象
22           SESSION_MAPPING_STORAGE.removeBySessionById(session.getId());
 23       }
 24  
25        /**
26        * Obtains a { @link  SessionMappingStorage} object. Assumes this method will always return the same
 27        * instance of the object.  It assumes this because it generally lazily calls the method.
 28        * 
 29        *  @return  the SessionMappingStorage
 30         */
31        protected   static  SessionMappingStorage getSessionMappingStorage() {
 32            return  SingleSignOutFilter.getSessionMappingStorage();
 33       }
 34   }


接下来,我们来看一下CAS server端回调是怎么实现的
先来看一下配置,我们知道CAS server所有的用户登录,登出操作,都是由CentralAuthenticationServiceImpl对象来管理。
我们就先把到CentralAuthenticationServiceImpl的spring配置,在applicationContext.xml文件中

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> <!--  CentralAuthenticationService  -->
     < bean  id ="centralAuthenticationService"  class ="org.jasig.cas.CentralAuthenticationServiceImpl"
        p:ticketGrantingTicketExpirationPolicy-ref ="grantingTicketExpirationPolicy"
        p:serviceTicketExpirationPolicy-ref ="serviceTicketExpirationPolicy"
        p:authenticationManager-ref ="authenticationManager"
        p:ticketGrantingTicketUniqueTicketIdGenerator-ref ="ticketGrantingTicketUniqueIdGenerator"
        p:ticketRegistry-ref ="ticketRegistry"
            p:servicesManager-ref ="servicesManager"
            p:persistentIdGenerator-ref ="persistentIdGenerator"
        p:uniqueTicketIdGeneratorsForService-ref ="uniqueIdGeneratorsMap"   />


配置使用了spring2.0的xsd。CentralAuthenticationServiceImpl有一个属性叫uniqueTicketIdGeneratorsForService,它是一个map对象
它的key值是所有实现org.jasig.cas.authentication.principal.Service接口的类名,用于保存Principal对象和进行单点登出回调

application server时使用 value值为org.jasig.cas.util.DefaultUniqueTicketIdGenerator对象,用于生成唯一的TGC ticket。
该属性引用的uniqueIdGeneratorsMap bean在uniqueIdGenerators.xml配置文件中。

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> < util:map  id ="uniqueIdGeneratorsMap" >
         < entry
             key ="org.jasig.cas.authentication.principal.SimpleWebApplicationServiceImpl"
            value-ref ="serviceTicketUniqueIdGenerator"   />
         < entry
             key ="org.jasig.cas.support.openid.authentication.principal.OpenIdService"
            value-ref ="serviceTicketUniqueIdGenerator"   />
         < entry
             key ="org.jasig.cas.authentication.principal.SamlService"
            value-ref ="samlServiceTicketUniqueIdGenerator"   />
         < entry
             key ="org.jasig.cas.authentication.principal.GoogleAccountsService"
            value-ref ="serviceTicketUniqueIdGenerator"   />
     </ util:map >


那CentralAuthenticationServiceImpl是怎么调用的呢?
我们跟踪一下代码,在创建ticket的方法 public String createTicketGrantingTicket(final Credentials credentials)中
可以找到以下这样一段代码:

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> --> 1            // 创建 TicketGrantingTicketImpl 实例
2                final  TicketGrantingTicket ticketGrantingTicket  =   new  TicketGrantingTicketImpl(
 3                    this .ticketGrantingTicketUniqueTicketIdGenerator
 4                       .getNewTicketId(TicketGrantingTicket.PREFIX),
 5                   authentication,  this .ticketGrantingTicketExpirationPolicy);
 6            // 并把该对象保存到 ticketRegistry中
7            this .ticketRegistry.addTicket(ticketGrantingTicket);


上面的代码,看到ticketRegistry对象保存了创建的TicketGrantingTicketImpl对象,下面我们看一下当ticket销毁的时候,会做什么
事情,代码如下:

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> -->  1        public   void  destroyTicketGrantingTicket( final  String ticketGrantingTicketId) {
  2           Assert.notNull(ticketGrantingTicketId);
  3  
 4            if  (log.isDebugEnabled()) {
  5               log.debug( " Removing ticket [ "   +  ticketGrantingTicketId
  6                    +   " ] from registry. " );
  7           }
  8        // 从 ticketRegistry对象中,取得TicketGrantingTicket对象
 9            final  TicketGrantingTicket ticket  =  (TicketGrantingTicket)  this .ticketRegistry
 10               .getTicket(ticketGrantingTicketId, TicketGrantingTicket. class );
 11  
12            if  (ticket  ==   null ) {
 13                return ;
 14           }
 15  
16            if  (log.isDebugEnabled()) {
 17               log.debug( " Ticket found.  Expiring and then deleting. " );
 18           }
 19           ticket.expire(); // 调用expire()方法,让ticket过期失效
20            this .ticketRegistry.deleteTicket(ticketGrantingTicketId); // 从ticketRegistry中删除的ticket 对象
21       }


我们看到,它是从ticketRegistry对象中取得 TicketGrantingTicket对象后,调用expire方法。 接下来,要关心的就是expire方法做什么事情

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> -->  1        public   synchronized   void  expire() {
  2            this .expired.set( true );
  3           logOutOfServices();
  4       }
  5  
 6        private   void  logOutOfServices() {
  7            for  ( final  Entry < String, Service >  entry :  this .services.entrySet()) {
  8               entry.getValue().logOutOfService(entry.getKey());
  9           }
 10       }


从代码可以看到,它是遍历每个 Service对象,并执行logOutOfService方法,参数是String sessionIdentifier
现在我们可以对应中,它存放的Service就是在uniqueIdGeneratorsMap bean定义中的那些实现类

因为logOutOfService方法的实现,所有实现类都是由它们继承的抽象类AbstractWebApplicationService来实现,我们来看一下
AbstractWebApplicationService的logOutOfService方法,就可以最终找出,实现single sign out的真正实现代码,下面是主要代码片段:

<!-- <br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> -->  1      public   synchronized   boolean  logOutOfService( final  String sessionIdentifier) {
  2            if  ( this .loggedOutAlready) {
  3                return   true ;
  4           }
  5  
 6           LOG.debug( " Sending logout request for:  "   +  getId());
  7            // 组装 logoutRequest参数内容
 8            final  String logoutRequest  =   " <samlp:LogoutRequest xmlns:samlp=\ " urn:oasis:names:tc:SAML: 2.0 :protocol\ "  ID=\ ""
  9                +  GENERATOR.getNewTicketId( " LR " )
 10                +   " \ "  Version = \ " 2.0\ "  IssueInstant = \ ""   +  SamlUtils.getCurrentDateAndTime()
 11                +   " \ " >< saml:NameID 
 12  
13   xmlns:saml = \ " urn:oasis:names:tc:SAML:2.0:assertion\ " > @NOT_USED@ </ saml:NameID >< samlp:SessionIndex > "
 14                +  sessionIdentifier  +   " </samlp:SessionIndex></samlp:LogoutRequest> " ;
 15           
 16            this .loggedOutAlready  =   true ;
 17            // 回调所有的application,getOriginalUrl()是取得回调的application url
18            if  ( this .httpClient  !=   null ) {
 19                return   this .httpClient.sendMessageToEndPoint(getOriginalUrl(), logoutRequest);
 20           }
 21           
 22            return   false ;
 23       }


至此,已经通过源代码把 CAS实现 single sign out的实现原理和方法完整叙述了一遍,希望对CAS感兴趣的朋友有所帮忙,
如果有什么问题也希望大家提出和指正。

iteye_14504
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP实现CAS实现SSO单点登陆及登出(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-21 165
PHP实现CAS实现SSO单点登陆及登出(附完整源码)
nodejs 单点登录 java,nodejs 使用CAS 实现 单点登录(SSO) 【开源库实现,简单】...
weixin_30674575的博客
03-10 1037
大部分企业使用 java 开发业务系统, 针对java cas的认证 demo 比较多 ,还有PHPCAS ,标准的参考这里:整理登录流程如下图,图片来自网络找了不少资料,nodejs 实现的比较少,npm 上库很多,试用了好几个才成功。注意参数解析Many of these options are borrowed from node's url documentation. You may s...
cas sso单点登录 登录过程和登出过程原理说明
weixin_30448603的博客
11-19 190
CAS大体原理我就不说了,网上一大把,不过具体交互流程没说清楚,所以有这篇文章,如果有错误,请多多指教 登录过程 用户第一次访问一个CAS 服务的客户web 应用时(访问URL :http://192.168.1.90:8081/web1 ),部署在客户web 应用的cas AuthenticationFilter ,会截获此请求,生成service 参数,然后redirect 到CA...
CAS5.2x单点登录(十)---------java客户端对接cas
java线程池
08-25 3833
好久没有写cas的文章了,最近也是比较忙,还是就是懒,我们之前讲的篇幅主要是基于cas服务端的,如果搭建好服务端后,没有把cas的客户端整合进来就等于没有用,接下来我们这篇文章我们会讲客户端如何接入cas,这边我们会以java和.net来说,因为这两个客户端接进来的问题会比较多,而其他语言比如python、go、php、node这些客户端接进来是没有这些问题,只要跟着文档的配置就ok了。 j...
Jasig cas 单点登录系统Server&Java Client配置
热门推荐
Java之旅
09-12 3万+
Jasig cas(Central Authentication Service)官方站点:http://www.jasig.org/cas,访问这个站点需要翻墙。 我下载的是:3.5.2版本,当前是最新release版本,只能运行在jdk6下,在jdk7下不能运行。 本篇介绍了Jasig cas单点登录、单点登出的配置和原理,它是一个只负责认证的系统,关于授权,还是要业务系统自己来做。
CAS单点登出逻辑详解
m0_47495420的博客
11-18 3057
单点登出功能单点登录功能是相对应的,旨在通过Cas Server的登出使所有的Cas Client都登出Cas Server的登出是通过请求“/logout”发生的,即如果你的Cas...
Cas实现单点登出(single sign out)功能实现原理
ly_wen00的专栏
07-14 742
关于Cas实现单点登入(single sing on)功能的文章在网上介绍的比较多,想必大家多多少少都已经有所了解,在此就不再做具体介绍。如果不清楚的,那只能等我把single sign on这块整理出来后再了解了。当然去cas官方网站也是有很多的文章进行介绍。cas官网http://www.ja-sig.org/products/cas/。 ok,现在开始本文的重点内容讲解,先来了解一下cas...
CAS 单点登录/登出 系统
Thor_Selen_Liu的博客
07-26 3028
前言:     在我们的实际开发中,更多的是采用分布式系统。那么问题来了,对于分布式系统的登录问题,我们如何解决呢?     如果说我们在每一个系统中都要进行一次登录,那么用户体验度也就差的没法用了。以京东商城为例,如果用户在登录京东商城的时候需要登录一次,在查询商品的时候还有在登录一次,加入购物车是还要重新登录,...(注意,每跳过一个页面都是进入了一个新的系统,请看他的url 地址的变化)...
cas跨域单点登录原理_采用CAS原理构建单点登录
weixin_31297157的博客
12-29 629
企业的信息化过程是一个循序渐进的过程,在企业各个业务网站逐步建设的过程中,根据各种业务信息水平的需要构建了相应的应用系统,由于这些应用系统一般是在不同的时期开发完成的,各应用系统由于功能侧重、设计方法和开发技术都有所不同,也就形成了各自独立的用户库和用户认证体系。随着新的业务网站不断的增加,用户在每个应用系统中都有独立的账号,这样就造成在访问不同的应用系统时,需要记录对应的用户名和密码,多个用户名...
S7-200 PLC库文件_Sign+operation(包含ABS和NEG).rar
03-09
S7-200 PLC库文件_Sign+operation(包含ABS和NEG)
CAS实现sso单点登录原理
03-21
CAS实现sso单点登录原理,可以方便技术人员理解
八、cas 4.2.x 单点登出
Mr丶Yang
04-11 2944
上一篇是cas配置shiro,这次说一说单点登出.特别感谢 白夜船长大神 !cas配置shiro:http://blog.csdn.net/mr_yangzc/article/details/69396622依然给出官方文档,https://apereo.github.io/cas/4.2.x/installation/Logout-Single-Signout.html单点登出非常简单 在cl...
CAS-Client客户端研究(五)-SingleSignOutFilter
yuwenruli的专栏
07-15 1万+
最近研究CAS,先从客户开始来说明CAS的逻辑,可能会结合源代码。必要说明:http://blog.csdn.net/yuwenruli/article/details/6602180SingleSignOutFilter ,主要是在有ticket参数的时候,将session放到
Sentinel集成CAS实现SSO(个人总结与梳理)
qq_42536474的博客
09-04 945
Sentinel 原理 Sentinel 是阿里中间件团队开源的,面向分布式服务架构的轻量级高可用流量控制组件,主要以流量为切入点,从流量控制、熔断降级、系统负载保护等多个维度来帮助用户保护服务的稳定性。 sentinel-dashboard,Sentinel的可视化界面,通过 Sentinel 的控制台,我们可以对规则进行查询和修改,也可以查看到实时监控,机器列表等信息 SSO 原理 单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即
springboot前后端分离接入cas技术方案及实现(二)
--雪飘时吻你--
05-06 6176
1.在pom.xml中增加sso接入相关依赖 <!--cas-client--> <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>cas-client-core</artifactId...
CAS单点退出代码走读
不想当司机的厨子
06-03 1001
服务端退出调用关系图:接收到退出请求后,先清除服务端的登陆标识,然后通过HttpUrlConnection给每个客户端发送请求,让客户端清除自己的登陆标识客户端退出代码:if ("POST".equals(request.getMethod())) { final String logoutRequest = CommonUtils.safeGetParameter(request, "logoutRequest"); System.out.println
cas单点登录 java_javaEE开发中用到的CAS单点登录
weixin_32184669的博客
03-05 156
小弟今日在本地联调一个应用 请求另一个应用,非常顺利,但已放到sit环境就不行了。百思不得姐呀。这可不行。放大招!查日志这一查才知道http请求居然报302 错误 ,可是为啥呢。两个应用虽然在不同的tomcat下,但都在一个服务器中呢。后台切换分支到sit上 本地启动也不能访问,邪门了。放终极大招。重头查器。终于在web.xml中找到了蛛丝马迹,这个应用居然引用了CASCAS Single Si...
SpringBoot中关于一些项目的配置(CAS登录验证)
qq_40708522的博客
06-17 464
SpringBoot中关于一些项目的配置
cas单点登出实现原理
最新发布
08-18
CAS(Central Authentication Service)单点登出实现原理如下: 1. 用户在某个客户端应用程序点击登出按钮或者在其中一个应用程序进行登出操作。 2. 客户端应用程序将登出请求发送给CAS服务器。 3. CAS服务器接收...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值