cas5.3.9单点登录-总结遇到的坑

置顶 已于 2022-07-07 13:57:56 修改
阅读量1w 收藏 38
点赞数 6
文章标签: cas单点登录 cas client集群 ssl证书申请 cas 配置redis存储ticket  cas 单点退出
于 2019-06-28 21:26:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m414160547/article/details/93973519
版权
本文详细介绍了使用CAS框架实现单点登录的过程,包括项目搭建、配置解析、常见问题及解决方案,特别关注了SSL证书申请、ticket过期策略、单点登出及集群环境下session管理的实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

cas5.3.9单点登录-总结遇到的坑

前言

最近因公司需求,将多个应用系统登录模块整合,选用了cas做单点登录。cas server和cas client集成的时候遇到了一些问题,也Google了很多资料还是没有得到解决,最后静下心来看了看其中的源码,解决了遇到了问题,其中过程很有意思,并且通过这些问题,对cas框架更加熟悉了。所以总结了遇到的问题,写下这篇文章跟大家一起分享。

cas简介

单点登录(Single Sign On),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。

CAS(Central Authentication Service),中央认证服务。CAS是一款不错的针对 Web应用的单点登录框架。

术语解释

Ticket Grangting Ticket(TGT)

TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在CAS成功登录过。TGT封装了Cookie值以及此Cookie值对应的用户信息。用户在CAS认证成功后,CAS生成cookie(叫TGC),写入浏览器,同时生成一个TGT对象,放入自己的缓存,TGT对象的ID就是cookie的值。当HTTP再次请求到来时,如果传过来的有CAS生成的cookie,则CAS以此cookie值为key查询缓存中有无TGT,如果有的话,则说明用户之前登录过,如果没有,则用户需要重新登录。

Ticket Granting Cookie(TGC)

存放用户身份认证凭证的cookie,在浏览器和CAS Server间通讯时使用,并且只能基于安全通道传输(Https),是CASServer用来明确用户身份的凭证。

Service Ticket(ST)

服务票据,服务的惟一标识码 , 由 CASServer 发出( Http 传送),用户访问Service时,service发现用户没有ST,则要求用户去CAS获取ST.用户向CAS发出获取ST的请求,CAS发现用户有TGT,则签发一个ST,返回给用户。用户拿着ST去访问service,service拿ST去CAS验证,验证通过后,允许用户访问资源。

图解

TGC与TGT

在这里插入图片描述

Server与Client交互过程

在这里插入图片描述

项目搭建

项目文档

项目是对 Apereo的cas-overlay-template 开源项目二次开发
因为 cas-overlay-template 对使用Maven构建项目只支持到cas5.3.x,而本项目使用的是cas5.3.9是5.3.x中最后一个版本,最新版cas6.0则是用Gradle构建的项目。因为学习成本,我们选择Maven构建项目。

这里注意:cas5.3.9版本对应的springboot 1.5.18.RELEASE版本

<cas.version>5.3.9</cas.version>
<springboot.version>1.5.18.RELEASE</springboot.version>

Apereo Github地址:https://github.com/apereo/cas-overlay-template/tree/5.3
CAS 配置说明:https://apereo.github.io/cas/5.3.x/installation/Configuration-Properties.html

项目二次开发

这里感谢这位博主整理的CAS单点登录系列博文,为我们这些后来者节省了许多开发时间。
作者:这个名字想了很久-博客传送门

按照这位博主整理的博文,进行大体上的二次开发是没有问题的,下面我会提到开发过程中遇到的问题,进行分析讲解。

项目二次开发遇到的问题

SSL证书申请

哈哈,证书的申请也是一波三折。刚开始申请是阿里云的Symantec SSL证书,结果Google Chrome显示不安全的链接。之后问了度娘才知道始末- Google Chrome正式宣布将不再信任赛门铁克所有SSL证书

后面去申请了腾讯云的TrustAsia(亚洲诚信) SSL证书,果断成功,咱也是有证书的人了哈哈。
在这里插入图片描述
在这里插入图片描述

cas ticket过期策略

1.org.jasig.cas.ticket.support.HardTimeoutExpirationPolicy
2.org.jasig.cas.ticket.support.NeverExpiresExpirationPolicy
3.org.jasig.cas.ticket.support.RememberMeDelegatingExpirationPolicy
4.org.jasig.cas.ticket.support.ThrottledUseAndTimeoutExpirationPolicy
5.org.jasig.cas.ticket.support.TicketGrantingTicketExpirationPolicy
请参考:https://blog.csdn.net/qq_20745827/article/details/52276576

我们使用第一种方式进行测试,因为默认ticket失效时间是120分钟,我们将其设置成1分钟
cas.ticket.tgt.hardTimeout.timeToKillInSeconds=60

cas client单机-单点退出

在测试的过程中,单点登录基本上没问题,主要是单点登出,单机的client单点注销也基本没问题,主要是cas client集群单点注销有问题。我们先来演练一遍cas client单机后,再看看cas client集群下的问题。

下面是cas client单点退出的起作用的filter,将其应用到cas client当中:

import org.jasig.cas.client.authentication.AuthenticationFilter;
import org.jasig.cas.client.session.SingleSignOutFilter;
import org.jasig.cas.client.session.SingleSignOutHttpSessionListener;
import org.jasig.cas.client.util.AssertionThreadLocalFilter;
import org.jasig.cas.client.util.HttpServletRequestWrapperFilter;
import org.jasig.cas.client.validation.Cas30ProxyReceivingTicketValidationFilter;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.boot.web.servlet.ServletListenerRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class CasConfig {

    // 是否启用CAS
    private static boolean casEnabled  = true;

    @Autowired
    private SpringCasAutoConfig autoConfig;

    /**
     *用于实现单点登出功能
     */
    @Bean
    public ServletListenerRegistrationBean<SingleSignOutHttpSessionListener> singleSignOutHttpSessionListener() {
        ServletListenerRegistrationBean<SingleSignOutHttpSessionListener> listener = new ServletListenerRegistrationBean<>();
        listener.setEnabled(casEnabled);
        listener.setListener(new SingleSignOutHttpSessionListener());
        listener.setOrder(1);
        return listener;
    }

    /**
     * 该过滤器用于实现单点登出功能,单点退出配置,一定要放在其他filter之前
     */
    @SuppressWarnings({ "rawtypes", "unchecked" })
    @Bean
    public FilterRegistrationBean singleSignOutFilter() {
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        SingleSignOutFilter filter = new SingleSignOutFilter();
		filterRegistration.setFilter(filter);
        filterRegistration.setEnabled(casEnabled);
        if (autoConfig.getSignOutFilters().size() > 0)
            filterRegistration.setUrlPatterns(autoConfig.getSignOutFilters());
        else
            filterRegistration.addUrlPatterns("/*");
        filterRegistration.addInitParameter("casServerUrlPrefix", autoConfig.getCasServerUrlPrefix());
        filterRegistration.addInitParameter("serverName", autoConfig.getServerName());
        filterRegistration.setOrder(1);
        return filterRegistration;
    }
    
    
    /**
     * 该过滤器负责用户的认证工作
     */
    @SuppressWarnings({ "rawtypes", "unchecked" })
    @Bean
    public FilterRegistrationBean authenticationFilter() {

        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        filterRegistration.setFilter(new AuthenticationFilter());
        filterRegistration.setEnabled(casEnabled);
        if (autoConfig.getAuthFilters().size() > 0)
            filterRegistration.setUrlPatterns(autoConfig.getAuthFilters());
        else
            filterRegistration.addUrlPatterns("/*");
        // casServerLoginUrl:cas服务的登陆url
        filterRegistration.addInitParameter("casServerLoginUrl", autoConfig.getCasServerLoginUrl());
        // 本项目登录ip+port
        filterRegistration.addInitParameter("serverName", autoConfig.getServerName());
        filterRegistration.addInitParameter("useSession", autoConfig.isUseSession() ? "true" : "false");
        filterRegistration.addInitParameter("redirectAfterValidation", autoConfig.isRedirectAfterValidation() ? "true" : "false");
        filterRegistration.addInitParameter("ignorePattern", autoConfig.getIgnorePattern());
        filterRegistration.setOrder(2);
        return filterRegistration;
    }

    /**
     * 该过滤器负责对Ticket的校验工作
     */
    @SuppressWarnings({ "rawtypes", "unchecked" })
    @Bean
    public FilterRegistrationBean cas30ProxyReceivingTicketValidationFilter() {
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        Cas30ProxyReceivingTicketValidationFilter cas30ProxyReceivingTicketValidationFilter = new Cas30ProxyReceivingTicketValidationFilter();
        cas30ProxyReceivingTicketValidationFilter.setServerName(autoConfig.getServerName());
        filterRegistration.setFilter(cas30ProxyReceivingTicketValidationFilter);
        filterRegistration.setEnabled(casEnabled);
        if (autoConfig.getValidateFilters().size() > 0)
            filterRegistration.setUrlPatterns(autoConfig.getValidateFilters());
        else
            filterRegistration.addUrlPatterns("/*");
        filterRegistration.addInitParameter("casServerUrlPrefix", autoConfig.getCasServerUrlPrefix());
        filterRegistration.addInitParameter("serverName", autoConfig.getServerName());
        filterRegistration.setOrder(3);
        return filterRegistration;
    }


    /**
     * 该过滤器对HttpServletRequest请求包装,
     * 可通过HttpServletRequest的getRemoteUser()方法获得登录用户的登录名
     */
    @SuppressWarnings({ "rawtypes", "unchecked" })
    @Bean
    public FilterRegistrationBean httpServletRequestWrapperFilter() {
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        filterRegistration.setFilter(new HttpServletRequestWrapperFilter());
        filterRegistration.setEnabled(true);
        if (autoConfig.getRequestWrapperFilters().size() > 0)
            filterRegistration.setUrlPatterns(autoConfig.getRequestWrapperFilters());
        else
            filterRegistration.addUrlPatterns("/*");
        filterRegistration.setOrder(4);
        return filterRegistration;
    }

    /**
     * 该过滤器使得可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。
     * 比如AssertionHolder.getAssertion().getPrincipal().getName()。
     * 这个类把Assertion信息放在ThreadLocal变量中,这样应用程序不在web层也能够获取到当前登录信息
     */
    @SuppressWarnings({ "rawtypes", "unchecked" })
    @Bean
    public FilterRegistrationBean assertionThreadLocalFilter() {
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        filterRegistration.setFilter(new AssertionThreadLocalFilter());
        filterRegistration.setEnabled(true);
        if (autoConfig.getAssertionFilters().size() > 0)
            filterRegistration.setUrlPatterns(autoConfig.getAssertionFilters());
        else
            filterRegistration.addUrlPatterns("/*");
        filterRegistration.setOrder(5);
        return filterRegistration;
    }


}

在cas server 和 cas client环境搭好后,我们将ticket失效时间设置成1分钟,接下来进行测试:

1.cas server session设置成2分钟 cas client session设置成2分钟 大于ticket失效时间
正常登陆server,刷新client页面,client不需要再次登陆
30秒的时候,刷新server 和 client页面,都不用登陆
90秒的时候,刷新server 和 client页面,都跳转到登录页

2.cas server session设置成40秒 cas client session设置成40秒 小于ticket失效时间
正常登陆server,刷新client页面,client不需要再次登陆
30秒的时候,刷新server 和 client页面,都不用登陆
50秒的时候,刷新server 和 client页面,都不用登陆
90秒的时候,刷新server 和 client页面,都跳转到登录页

由此可以看出cas的server 和 client 的session好像没有生效,我们来看下面的就明白了。
在这里插入图片描述
上图的意思是 在有效ticket时间内 client session超时后会再签发一个ST,返回给用户。用户拿着新ST去访问service,service拿ST去CAS验证,验证通过后,允许用户访问资源。

单机的client单点注销也是OK的,cas server点击登出,cas client也会登出。

那么,上面单机的client ticket超时失效和单点注销的结果就是我们预期的结果。我们 cas client集群也应该要达到这个结果才对,然而在cas client集群下,就出BUG了。接下来看看cas client集群要怎么修改才能达到我们要的结果。

cas client集群

我们在Debug的时候看到单点退出的时候会走到SingleSignOutFilter里面,当中有着SingleSignOutHandler SessionMappingStorage有一个实现类 HashMapBackedSessionMappingStorage,这个类的作用,在于存储 tiket 和 sessionId 的映射。注销的时候,cas 服务器会发来一个 st-tiket,退出过滤器需要根据这个 st-ticket 找到对应的 sessionId 来清除 session 而 HashMapBackedSessionMappingStorage 是存储在 Map 里的,也就是内存里的,而不是 session 里。靠谱的方式应该是把这个映射关系也存在 redis 里。也就是自己实现一个 RedisBackedSessionMappingStorage。

import java.util.concurrent.TimeUnit;
import javax.annotation.Resource;
import javax.servlet.http.HttpSession;
import org.jasig.cas.client.session.SessionMappingStorage;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.InitializingBean;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.data.redis.core.StringRedisTemplate;
import org.springframework.data.redis.core.ValueOperations;
import org.springframework.data.redis.serializer.StringRedisSerializer;
import org.springframework.session.SessionRepository;

public final class RedisBackedSessionMappingStorage implements SessionMappingStorage, InitializingBean {

	private final Logger log = LoggerFactory.getLogger(getClass());
	private static final int TIMEOUT = 60 * 60 * 1;
	
	private static final String NAMESPACE = "CAS_CLIENT";
	private static final String SESSION_KEY_TO_ID_MAPPING = NAMESPACE+"::SESSION_KEY::";
	private static final String ID_TO_SESSION_KEY_MAPPING = NAMESPACE+"::MAPPING_ID::";
	
	
	@Autowired
	private SessionRepository sessionRepository;

	@Resource(name = "stringRedisTemplate")
	private StringRedisTemplate redisTemplate;
	
	private ValueOperations<String, String> opsForValue;
	
	public RedisBackedSessionMappingStorage() {}

	@Override
	public synchronized void addSessionById(String mappingId, HttpSession session) {
		try {

			opsForValue.set(SESSION_KEY_TO_ID_MAPPING + session.getId(), mappingId);
			redisTemplate.expire(SESSION_KEY_TO_ID_MAPPING + session.getId(), TIMEOUT, TimeUnit.SECONDS);
			
			opsForValue.set(ID_TO_SESSION_KEY_MAPPING + mappingId, session.getId());
			redisTemplate.expire(ID_TO_SESSION_KEY_MAPPING + mappingId, TIMEOUT, TimeUnit.SECONDS);
		} catch (Exception e) {
			throw new RuntimeException(e);
		}
	}

	@Override
	public synchronized void removeBySessionById(String sessionId) {

		if (log.isDebugEnabled()) {
			log.debug("Attempting to remove Session=[" + sessionId + "]");
		}

		try {

			final String mappingId = opsForValue.get(SESSION_KEY_TO_ID_MAPPING + sessionId);

			if (log.isDebugEnabled()) {
				if (mappingId != null) {
					log.debug("Found mapping for session.  Session Removed.");
				} else {
					log.debug("No mapping for session found.  Ignoring.");
				}
			}
			if (mappingId != null) {
				redisTemplate.delete(SESSION_KEY_TO_ID_MAPPING + sessionId);
				redisTemplate.delete(ID_TO_SESSION_KEY_MAPPING + mappingId);
                //这个是核心代码
				sessionRepository.deleteById(sessionId);
			}
		} catch (Exception e) {
			throw new RuntimeException(e);
		}
	}

	@Override
	public synchronized HttpSession removeSessionByMappingId(String mappingId) {
		String sessionId = null;
		try {

			sessionId = opsForValue.get(ID_TO_SESSION_KEY_MAPPING + mappingId);
			if (log.isDebugEnabled()) {
				if (mappingId != null) {
					log.debug("Found mapping for session.  Session Removed.");
				} else {
					log.debug("No mapping for session found.  Ignoring.");
				}
			}
		} catch (Exception e) {
			throw new RuntimeException(e);
		}
		if (sessionId != null) {
			removeBySessionById(sessionId);
		}

		return null;
	}

	@Override
	public void afterPropertiesSet() throws Exception {
		opsForValue = redisTemplate.opsForValue();
		redisTemplate.setKeySerializer(new StringRedisSerializer());
	}
}

这里主要通过SessionRepository删除Session

修改singleSignOutFilter

 /**
     * 该过滤器用于实现单点登出功能,单点退出配置,一定要放在其他filter之前
     */
    @SuppressWarnings({ "rawtypes", "unchecked" })
    @Bean
    public FilterRegistrationBean singleSignOutFilter(RedisBackedSessionMappingStorage sessionMappingStorage) {
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        SingleSignOutFilter filter = new SingleSignOutFilter();
        filter.setSessionMappingStorage(sessionMappingStorage);
		filterRegistration.setFilter(filter);
        filterRegistration.setEnabled(casEnabled);
        if (autoConfig.getSignOutFilters().size() > 0)
            filterRegistration.setUrlPatterns(autoConfig.getSignOutFilters());
        else
            filterRegistration.addUrlPatterns("/*");
        filterRegistration.addInitParameter("casServerUrlPrefix", autoConfig.getCasServerUrlPrefix());
        filterRegistration.addInitParameter("serverName", autoConfig.getServerName());
        filterRegistration.setOrder(1);
        return filterRegistration;
    }
    
    @Bean
    public RedisBackedSessionMappingStorage sessionMappingStorage() {
		return new RedisBackedSessionMappingStorage();
    }

cas server集群

cas server支持主从模式、哨兵sentinel模式、不支持redis cluster模式

#配置redis存储ticket
cas.ticket.registry.redis.host=192.168.xxx.xxx
cas.ticket.registry.redis.port=6379
cas.ticket.registry.redis.database=5
cas.ticket.registry.redis.password=
cas.ticket.registry.redis.timeout=1000
cas.ticket.registry.redis.useSsl=false
cas.ticket.registry.redis.usePool=true
cas.ticket.registry.redis.pool.max-active=20
cas.ticket.registry.redis.pool.maxIdle=8
cas.ticket.registry.redis.pool.minIdle=0
cas.ticket.registry.redis.pool.maxActive=8
cas.ticket.registry.redis.pool.maxWait=-1
cas.ticket.registry.redis.pool.numTestsPerEvictionRun=0
cas.ticket.registry.redis.pool.softMinEvictableIdleTimeMillis=0
cas.ticket.registry.redis.pool.minEvictableIdleTimeMillis=0
cas.ticket.registry.redis.pool.lifo=true
cas.ticket.registry.redis.pool.fairness=false
cas.ticket.registry.redis.pool.testOnCreate=false
cas.ticket.registry.redis.pool.testOnBorrow=false
cas.ticket.registry.redis.pool.testOnReturn=false
cas.ticket.registry.redis.pool.testWhileIdle=false
#cas.ticket.registry.redis.sentinel.master=mymaster
#cas.ticket.registry.redis.sentinel.nodes[0]=localhost:26377
#cas.ticket.registry.redis.sentinel.nodes[1]=localhost:26378
#cas.ticket.registry.redis.sentinel.nodes[2]=localhost:26379

#配置redis存储session
cas.webflow.autoconfigure=true
cas.webflow.alwaysPauseRedirect=false
cas.webflow.refresh=true
cas.webflow.redirectSameState=false

cas.webflow.session.lockTimeout=30
cas.webflow.session.compress=false
cas.webflow.session.maxConversations=5
cas.webflow.session.storage=true

多台 CAS 服务器就可以共用同一个 TicketRegistry。对于前端 web 服务器 (如 nginx),做好负载均衡配置,将认证请求分布转发给后面多台 CAS,实现负载均衡和容错目的。

sso登陆劫持漏洞(单点登录劫持,低危)
墨痕诉清风的博客
10-15 4124
如果使用以下token,再次访问http://abc.com.test/Account/Login,可以发现已经登陆。这里可以理解为,门卫不知道你是谁,然后让你去某某处盖章,你去盖章完成后回到门卫处,门外验证红章没问题就让你通过。sso设计目的是简化登陆方式,可能有很多系统,但是多个系统都是一个机构的,每个系统每次都要分别登陆就很复杂。提交后,网页提示无法连接abc.com.test,并且抓取到了一段数据包,包含了登陆成功的token。sso单点登陆,用户一次登陆,所有系统都可访问。...
CAS单点登录实战
草衣的博客
12-13 1128
搞了老半天,单点登录终于弄好了,此文是初步接触单点登录的入门指南,分享一下: 准备环境: windows7 64位JDK 1.6.0_10Tomcat 6.0.20(准备三份tomcat,分别名为tomcat-6.0.20-app1,tomcat-6.0.20-app2,tomcat-6.0.20-cas-server,修改startup和shutdown的端口)CAS-ser
反序列化漏洞利用工具_Apereo_CAS_反序列化漏洞分析及利用
weixin_39777540的博客
11-28 3658
Apereo CAS 是一个开源的统一认证服务(单点登录系统),CAS是Central Authentication Service的首字母缩写。根据网上公开的漏洞详情,影响版本为4.1.X和4.2.X,本文讲述从环境搭建、漏洞分析到漏洞利用CAS反序列化漏洞一、环境搭建1. 4.1.X环境从github上下载cas-overlay-template,命令gitclone-b4.1...
开发环境下CAS单点登出bug解决/ 及版本更新bug解决
yangwenjianywj的专栏
05-20 1067
博主最近使用CAS单点登录 , 测试demo中, 碰到如下问题, 解决过程曲折, 现分享如下: 问题一:CAS单点登出功能 bug 描述: 问题描述: 开发环境下, idea中tomcat插件运行CASClient_1和Client_2两个项目,将CAS Server部署在Linux系统上的tomcat中: 1. 当访问Client_1时...
含泪分享CAS单点登录Https的
LJL's博客
08-31 832
网上很多文章说要使用CAS单点登录必须要配置域名, cas server是不能通过ip访问的,这实际上是错误的,这和cas无关。生成的证书一定要这样 错误: unable to find valid certification path to requested target 生成证书: keytool -genkeypair -alias cas41key -keyalg RSA -keys...
在Java Web应用中整合Shiro
# 1. 理解Shiro Shiro是一个强大且易于使用的Java安全框架,提供了身份验证、授权、加密、会话管理等安全相关的功能。它是Apache软件基金会的一部分,目的是为Java应用程序提供安全框架支持。 ...
cas server 5.3.9 整合数据库验证用户信息,使用security密码验证方式
06-18
提供了cas server 5.3.9 单点登录的资源整合,cas服务器,运行即可用 配置了spring srcurity 密码验证方式
Apereo CAS 4.1 反序列化 RCE 漏洞漏洞复现
最新发布
weixin_56537388的博客
11-09 468
Apereo CAS 是一个企业单点登录系统。CAS 尝试通过 Apache Commons Collections 库反序列化对象时存在问题,这导致了 RCE 漏洞。
spring boot 2.0 集成 shiro 和 pac4j cas单点登录(解决单点登出失效问题)
搬山境KL攻城狮的修炼手册
11-11 3234
一、CAS简介 CAS 是 Central Authentication Service 的缩写 —— 中央认证服务,一种独立开放指令协议,是 Yale 大学发起的一个企业级开源项目,旨在为 Web 应用系统提供一种可靠的 SSO 解决方案。 CAS 支持以下特性: CAS v1, v2 和 v3 协议 SAML v1 和 v2 协议 OAuth v2 协议 OpenID & OpenID Connect 协议 WS-Federation Passive Requestor 协议 通过 JAAS
cas单点登录退出失效解决方法
qq_34332207的博客
11-17 7778
在本地集成cas单点登录,原先使用3.5版本,全部跑通,后来看了cas官网发现现在已经有了6.0版本了,3.5版本太老了,于是下了5.2.0版本,结果发现配置等差距太大了,一点点的摸索,登录搞定了,退出始终不行,调用cas的logout虽然页面调到了注销页面,但是系统实际上没有注销,还是处于登录页,这个问题纠结了我两天时间没解决,最后看了cas源码,发现退出的时候cas在获取所有已经登录的客户端的...
cas 5.2.0单点退出失效的解决方法
c_kkl213的博客
08-17 7228
我目前使用的cas的是5.2.0版本,此方法可能使用所有cas 5.X的版本。 单点退出的原理相信都知道了,cas服务端会向所有已经在cas服务端中已经注册的客户端发出销毁这些客户端的Session的请求。可是在使用过程中发现seesion并没有销毁,发出的单点退出请求并没有生效。客户端还是处于登录状态。开始解决的方案是先向客户端发出请求,客户端手动销毁seesion后再向cas服务端发送退出...
CAS单点登录开源框架解读(十七)--ticket失效策略
joeljx的专栏
01-27 3907
本文主要讲解ticket的失效判断策略,源码目前还是以开源cas4.2.7版本为主。 ticket失效策略的默认使用类 ticket的失效可分为两类一个是TGT(TicketGrantingTicket)的失效策略,另外一个是ST(ServiceTicket)的失效策略。结合源码我们可知在创建ticket的时候就必须放入对应的失效策略,针对不同的ticket会放入不同的失效策略,先看看具体有多少种失效策略。 具体的失效策略主要是实现ExpirationPolicy这个接口类来完成,然后基于实现的抽象类Abs
CAS单点登出:一
戏子晚风的博客
10-09 956
CAS单点登出问题及解决 一 (文章摘自笔者发在自己公司内部论坛的文章:谢绝转载)
CAS单点登录-单点登出
RedStarOfSleep's Blog
04-19 5337
实现最基本的单点登出只需在client处的web.xml中加入一个过滤器和一个监听器 &lt;listener&gt; &lt;listener-class&gt;org.jasig.cas.client.session.SingleSignOutHttpSessionListener&lt;/listener-class&gt; &lt;/listener&...
CAS解决单点登录SSO
架构设计
04-23 212
关于CAS很多的原理和基础的配置启动,网上是很多的,我更多是结合我的实践和心得。需要了解CAS的原理,认证协议,认证流程,可以参考以下文章。 让CAS支持客户端自定义登陆页面——客户端篇 CAS原理与配置-基于CAS单点登陆的研究(上) 服务端配置 CAS单点登陆部署 CAS配置手册 CAS单点登录配置 背景 单点登录(SSO)是企业开发的重要问题,在我的毕设项目中,由于要和...
CAS 单点登出 loginout 解决方案 -- 最靠谱的方案,不是抄的--还是不靠谱大家不要抄了
陕西小伙伴网络科技有限公司-技术博客
04-27 4428
mmp,从11年开始用cas,但是总是在退出的时候掉链子,各种掉线子 从2.x版本开始用现在都4.2.7版本都没解决这个退出掉链子的事情,于是自己看源码解决了此问题。     cas 默认的基于 httpclient http 通知的,通知的时候,服务端给客户端发一个xml 里面有一个ticketid,客户端用ticketid做退出。实记使用过程中,你会碰到各种退不出来的问题,关闭浏览器在重试,...
CAS单点登出:二
戏子晚风的博客
10-09 662
CAS单点登出问题及解决 二 (文章摘自笔者发在自己公司内部论坛的文章:谢绝转载)
CAS 制作单点登录登录后跳转客户端页面出错
yj_best的专栏
03-15 5045
服务器端:tomcat 6.0 、jdk1.6、CAS-server-3.3.3客户端:tomcat5.0 、jdk1.5CAS-client-2.1.证书制作步骤: 客户端生成密钥:keytool -genkey -alias server -validity 3650 -keystore server.jks -keyalg RSA设置:CN=localhos
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值