【原创】CAS总结之单点退出篇(CAS到底有没有实现单点退出?)

最新推荐文章于 2023-04-24 16:03:57 发布
最新推荐文章于 2023-04-24 16:03:57 发布
阅读量881 收藏 3
点赞数 2
分类专栏: 开源研究—CAS 文章标签: SVN Spring IE 应用服务器 Access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_8413/article/details/81799121
版权

 

         CAS 总结之单点退出篇

 

CAS 到底有没有实现单点退出?本人阅读了 JA-SIG CAS v3.3 ,以及 JA-SIG CAS-CLIENT 3.1.9 的源代码,发现表面上好像实现了单点退出,但实际上却没有真正实现。

 

现将 CASlogout 接口的实现整理如下。

 

首先看一下 CAS logout 功能的序列图。



                                                 CAS logout 功能的序列图

 

 

从图中可以看出, CAS logout 功能有两步,一是调用 TGT 对象中各个 ServicelogoutOfService 方法,二是在缓存中清除 TGT 对象。

 

我们看一下 CASAbstractWebApplicationServicelogoutOfService 方法的实现。

 

public synchronized boolean logOutOfService(final String sessionIdentifier) {
        if (this.loggedOutAlready) {
            return true;
        }

        LOG.debug("Sending logout request for: " + getId());

        final String logoutRequest = "<samlp:LogoutRequest xmlns:samlp=\"urn:oasis:names:tc:SAML:2.0:protocol\" ID=\""
            + GENERATOR.getNewTicketId("LR")
            + "\" Version=\"2.0\" IssueInstant=\"" + SamlUtils.getCurrentDateAndTime()
            + "\"><saml:NameID xmlns:saml=\"urn:oasis:names:tc:SAML:2.0:assertion\">@NOT_USED@</saml:NameID><samlp:SessionIndex>"
            + sessionIdentifier + "</samlp:SessionIndex></samlp:LogoutRequest>";
        
        this.loggedOutAlready = true;
        
        if (this.httpClient != null) {
            return this.httpClient.sendMessageToEndPoint(getOriginalUrl(), logoutRequest);
        }
        
        return false;
    }

 

 

    另外 HttpClient 类中 sendMessageToEndPoint 方法的实现如下:

 

public boolean sendMessageToEndPoint(final String url, final String message) {
        HttpURLConnection connection = null;
        BufferedReader in = null;
        try {
            if (log.isDebugEnabled()) {
                log.debug("Attempting to access " + url);
            }
            final URL logoutUrl = new URL(url);
            final String output = "logoutRequest=" + URLEncoder.encode(message, "UTF-8");

            connection = (HttpURLConnection) logoutUrl.openConnection();
            connection.setDoInput(true);
            connection.setDoOutput(true);
            connection.setReadTimeout(this.readTimeout);
            connection.setConnectTimeout(this.connectionTimeout);
            connection.setRequestProperty("Content-Length", ""
                + Integer.toString(output.getBytes().length));
            connection.setRequestProperty("Content-Type",
                "application/x-www-form-urlencoded");
           
            final DataOutputStream printout = new DataOutputStream(connection
                .getOutputStream());
            printout.writeBytes(output);
            printout.flush();
            printout.close();

            in = new BufferedReader(new InputStreamReader(connection
                .getInputStream()));

            while (in.readLine() != null) {
                // nothing to do
            }
            
            if (log.isDebugEnabled()) {
                log.debug("Finished sending message to" + url);
            }
            
            return true;
        } catch (final Exception e) {
            log.error(e,e);
            return false;
        } finally {
            if (in != null) {
                try {
                    in.close();
                } catch (final IOException e) {
                    // can't do anything
                }
            }
            if (connection != null) {
                connection.disconnect();
            }
        }
    }

 

 

通过阅读代码可以发现, logOutOfService 方法是调用 serivceoriginUrl 接口,利用 HttpURLConnection 的方式把退出请求发送给 service注意没有给 HttpURLConnection 设置 requestMethod ,因此用的是默认的 GET 方法。 sessionIdentifier 的值是 ST 的值。 serviceresponse 中会解析 logoutRequest 参数中的 sessionIdentifier 的值,然后把 sessionIdentifier 标识的 session kill 掉就可以了。这时我们发现,原理上是可以单点退出的。

 

再来看客户端的实现,客户端和单点退出有关的类包括:

  • SingleSignOutFilter :用来解析 logoutRequest 参数。
  • SessionMappingStorage :一个接口,定义了 Session 存储器的方法。  


  • HashMapBackedSessionMappingStorageSession 存储器的实现类,定义了 2Map 来存储 Session

MANAGED_SESSIONS:keyST 的值, valuesession

ID_TO_SESSION_KEY_MAPPINGkeysessionId,valueST 的值。

 

  • SingleSignOutHttpSessionListener :此 Listener 监听到 session destroy 的事件后,用 sessionId 从上述 ID_TO_SESSION_KEY_MAPPING 中取出 ST 的值,然后依据 ST 的值从 MANAGED_SESSIONS 中取出 session, 然后就可以执行其 invalidate 方法了。

 

我们看一下 SingleSignOutFilter 中的 doFilter 方法。

 

public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException {
        final HttpServletRequest request = (HttpServletRequest) servletRequest;
       
        if ("POST".equals(request.getMethod())) {
            final String logoutRequest = CommonUtils.safeGetParameter(request, "logoutRequest");

            if (CommonUtils.isNotBlank(logoutRequest)) {

                if (log.isTraceEnabled()) {
                    log.trace ("Logout request=[" + logoutRequest + "]");
                }
                
                final String sessionIdentifier = XmlUtils.getTextForElement(logoutRequest, "SessionIndex");

                if (CommonUtils.isNotBlank(sessionIdentifier)) {
                	final HttpSession session = SESSION_MAPPING_STORAGE.removeSessionByMappingId(sessionIdentifier);

                	if (session != null) {
                        String sessionID = session.getId();

                        if (log.isDebugEnabled()) {
                            log.debug ("Invalidating session [" + sessionID + "] for ST [" + sessionIdentifier + "]");
                        }
                        
                        try {
                        	session.invalidate();
                        } catch (final IllegalStateException e) {
                        	log.debug(e,e);
                        }
                	}
                  return;
                }
            }
        } else {
        	final String artifact = CommonUtils.safeGetParameter(request, this.artifactParameterName);
            final HttpSession session = request.getSession(false);

            if (session != null) {
                if (log.isDebugEnabled()) {
                    log.debug("Storing session identifier for " + session.getId());
                }
                if (CommonUtils.isNotBlank(artifact)) {
                    try {
                        SESSION_MAPPING_STORAGE.removeBySessionById(session.getId());
                    } catch (final Exception e) {
                        // ignore if the session is already marked as invalid.  Nothing we can do!
                    }
                    SESSION_MAPPING_STORAGE.addSessionById(artifact, session);
                }
            } else {
                log.debug("No Session Found, so ignoring.");
            }
        }

        filterChain.doFilter(servletRequest, servletResponse);
}
 

       非常奇怪,这个方法首先判断了 request 的方法,如果是 POST, 则会执行 session.invalidate 方法,从而实现单点退出,如果是 GET ,则只会在存在 ticket 参数的情况下,把 session 存进 SessionMappingStorage ,永远也不执行 session.invalidate 方法,不能单点退出。因为 CASlogoutRequest 请求是用 GET 方法发过来的,所以,单点登录功能没有实现。

 

       本人对 SingleSignOutFilter 中的 doFilter 方法重写了一下,代码如下。经验证,确实实现了单点退出。

 

public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain filterChain) throws IOException, ServletException {
        
    	final HttpServletRequest request = (HttpServletRequest) servletRequest;
        final String logoutRequest = CommonUtils.safeGetParameter(request, "logoutRequest");
        Enumeration ff = request.getParameterNames();
        String a = request.getQueryString();
        if (CommonUtils.isNotBlank(logoutRequest)) {
        	 final String sessionIdentifier = XmlUtils.getTextForElement(logoutRequest, "SessionIndex");

             if (CommonUtils.isNotBlank(sessionIdentifier)) {
             	final HttpSession session = SESSION_MAPPING_STORAGE.removeSessionByMappingId(sessionIdentifier);

             	if (session != null) {
                     String sessionID = session.getId();                   
                     try {
                     	session.invalidate();
                     } catch (final IllegalStateException e) {
                     	
                     }
             	}
             }
         }
        
        else{
        	final String artifact = CommonUtils.safeGetParameter(request, this.artifactParameterName);
            final HttpSession session = request.getSession(false);
            
            if (CommonUtils.isNotBlank(artifact) && session!=null) {
                try {
                    SESSION_MAPPING_STORAGE.removeBySessionById(session.getId());
                } catch (final Exception e) {
                    
                }
                SESSION_MAPPING_STORAGE.addSessionById(artifact, session);
            }
        }

        filterChain.doFilter(servletRequest, servletResponse);
    }

 

      另外还需要注意的是,因为客户端部署了三个 Filter:AuthenticationFilterServiceValidationFilterSingleSignOutFilter ,所以三个 Filter 的顺序需要注意,我的顺序为 AuthenticationFilterServiceValidationFilterSingleSignOutFilter ,一开始不行,因为执行退出功能时, CAS 服务端用 HttpURLConnection 访问客户端,没有把 sessionId 代过来,所以在 AuthenticationFilter 中就被 redirectCAS 了,到不了 SingleSignOutFilter ,我做了一个改动,就是在 AuthenticationFilter 中的 redirectUrl ,后面加上了 session ID 的值,格式如:“ ;jsessionid=, 这样 CAS 端解析 service 参数生成 WebApplicationService 时, orginUrl 里就有 sessionId 了。

 

虽然这样就实现了单点退出,但我感觉 CAS 的这种采用 Filter 的方式太麻烦了,不如让客户应用提供一个 callback url ,CAS 直接调用这个 callback url 来退出更好一些,但这样的话,对 CAS 的改动非常大。

 

     本人博客 :http://zhenkm0507.iteye.com

iteye_8413
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CAS 4.1.x 单点登出(退出登录)的原理解析
weixin_33738982的博客
07-19 1879
2019独角兽企业重金招聘Python工程师标准>>> ...
单点登陆实现(完全跨域、单点退出
03-13
基于springmvc+maven+webservce+memecached 单点登陆实现实现完全跨域、单点退出
CAS退出后返回指定的页面
Jason的专栏
09-27 315
CAS退出默认是转向CAS内置的退出页面,在实际应用中需要跳转到自己指定的页面。退出转向决定于org.jasig.cas.web.LogoutController,我们看一下原代码。   protected ModelAndView handleRequestInternal( final HttpServletRequest request, final HttpS...
手撸SSO单点登录(六)SSO单点退出原理
kiduo08的专栏
05-09 3801
目标 这一章节我们来一起学习,单点退出登录,是怎么让所有sso系统一起退出登录的。 视频详细讲解请见https://www.bilibili.com/video/BV1b5411d7be/ 源码下载地址:https://gitcode.net/kiduo08/yuantai-sso.git 时序图 当用户点击某一个系统的退出登录时候 统一的发起跳转到认证中心http://authentication.sso.com:8080/logout?redirectUri=http://client.sso.co
单点登录(三)—— 单点登出原理手写实现
baolingye的博客
02-11 1446
单点登出原理 我们想实现单点登出,首先会想到在当前应用下把Session销毁即可,但是仔细一想,这样的话,是不能实现把与之共享一个token的应用的Session销毁,这条路不行。 那既然所有的应用登录都需要 ...
spring boot整合CAS Client实现单点登陆验证的示例
08-28
Spring Boot 整合 CAS Client 实现单点登录验证的示例 Spring Boot 整合 CAS Client 是一种流行的解决方案,用于实现单点登录(Single Sign-On,简称 SSO)。在多个应用系统中,用户只需要登录一次就可以访问所有...
spring boot 1.5.4 集成shiro+cas,实现单点登录和权限控制
08-30
CAS(Central Authentication Service)是一种开源的身份验证协议,提供了单点登录和单点退出功能。CAS Server 是一个独立的服务器,负责处理身份验证请求Spring Boot 集成 Shiro+Cas 要在 Spring Boot 应用...
cas.zip_CAS_单点登录
09-23
实现CAS单点登录的过程中,主要涉及以下几个核心知识点: 1. **CAS服务器**:CAS服务器是整个单点登录的核心,它负责处理用户的登录请求,验证用户的凭证,并生成服务票证(Ticket Granting Ticket,TGT)。一旦...
spring + shiro + cas 实现sso单点登录的示例代码
08-29
文章主要介绍了 Spring + Shiro + CAS 实现 SSO 单点登录的示例代码,具有一定的参考价值。下面将详细介绍标题、描述、标签和部分内容中所涉及到的知识点。 SSO 单点登录 SSO(Single Sign-On)单点登录是一种...
cas单点才登出原理
04-18
cas单点才登出原理cas单点才登出原理
spring-oauth集成cas单点登录,登陆完成进入授权页面后,按回退按钮进入404页面的问题
heartlifes
06-09 1035
原文及更多文章请见个人博客:http://heartlifes.com 背景:1.项目中使用耶鲁的cas单点登录。 2.使用spring-oauth包实现oauth2服务 3.使用spring-casspring-security及cas的集成现象:开发报了个bug,大致流程就是 系统调用/oauth/authorize接口,被spring-security拦截进入cas登录界面后,用户输入
CAS-5.2.6单点登录-退出原理
喝醉的咕咕鸟
06-22 3862
退出原理流程图: cas退出有三种模式: NONE:不支持单点登录 BACK_CHANNEL:隐式退出(默认) FRONT_CHANNEL:显式退出 参数说明 参考官网地址 https://apereo.github.io/cas/5.2.x/installation/Configuration-Properties.html#logout #配置单点登出 #配...
(转) 让CAS退出后返回指定的页面
De_Moivre的专栏
01-15 414
CAS退出默认是转向CAS内置的退出页面,在实际应用中需要跳转到自己指定的页面。退出转向决定于org.jasig.cas.web.LogoutController,我们看一下源代码。 protected ModelAndView handleRequestInternal( final HttpServletRequest request, final HttpServletR...
注销登陆 清除缓存session CAS shiro redis
bw1023627606的博客
11-11 2680
内嵌系统注销,session统一注销,redis管理,单机与集群     在项目中遇到了这么一个问题,在这里记录当时解决的方式     出现的问题:系统内嵌系统,当时外系统注销用户后发现内嵌iframe的另一个系统没有退出登录,缓存仍然在,依然可以使用用户身份访问,外系统登陆另一个用户账号时,内嵌系统任然是上一次或第一次登陆的用户信息,导致用户信息不匹配和其它操作的漏洞。     调试很多次,发现...
SpringMVC-shiro-cas实现单点登出功能(记录一下)
xcnaabb的博客
04-24 696
springmvc-shiro-cas实现单点登出
CAS5.2x单点登录(八)---------客户端集群单点退出方式
java线程池
05-06 3658
博客已经说了单点退出是怎么实现的,同时也留下了隐患,就是在集群下的客户端可能出现退出概率有效。而导致这个结果的就是因为我们客户端无法根据服务端传过来的st来找到相应的session,所以就无法清空。在最早之前,我们没有考虑到集群和分布式的时候,我们是这样来使用cas和客户端的交互 我们通过cas提供的客户端核心包来进行cas服务器和cas客户端的通信。而在一系列的校验通过后,cas会为客...
基于 CAS 实现通用的单点登录解决方案(三):用户单点退出实现
qq_32421489的博客
12-26 1592
原理概述 基于 CAS 单点登录系统的退出主要包含两个部分: CAS 客户端应用的退出 CAS 服务端退出登录状态 我们在 CAS 客户端应用退出后将页面重定向到服务端退出登录状态,然后通过传递过去的回跳地址跳转回客户端应用退出后跳转页面。当然,此时通过单点登录的其它客户端系统还是处于登录状态的,需要等到对应 Session 过期后才能退出,因为我们使用的 CAS 扩展包是基于 PHP 自带的 Session 实现的登录操作,生成的用于存储 Session ID 的 Cookie 完全是随机的,跟..
CAS 单用户登录(基于CAS + Shiro整合)
qq_34125349的博客
05-10 1946
    上一博文提到的是,单独使用CAS实现单用户操作功能,但是CAS 和Shiro集成在一起的时候,原来的方法就会失效;所以该博文基于CAS + Shiro 实现单用户操作功能;    该博文配置环境为:CAS = 4.1.2; shiro = 1.2.2; 经过跟踪调查,shiro并没有对单点登出进行支持。也就是说需要完全自己实现。创建一个package,在里面创建下列几个类:单点登出...
CAS单点登出逻辑详解
m0_47495420的博客
11-18 2968
单点登出功能跟单点登录功能是相对应的,旨在通过Cas Server的登出使所有的Cas Client都登出。Cas Server的登出是通过请求“/logout”发生的,即如果你的Cas...
如何使用CAS完成单点登录
最新发布
08-29
7. 单点退出:当用户在某个应用系统中执行退出操作时,应用系统将用户重定向至CAS服务器进行单点退出CAS服务器会通知其他已登录的应用系统将用户标记为已退出,并且跳转到CAS服务器的退出页面。 通过CAS实现单点...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值