CAS 5.3.X ticket存储与过期

最新推荐文章于 2023-02-06 16:35:02 发布
最新推荐文章于 2023-02-06 16:35:02 发布
阅读量6.7k 收藏 8
点赞数
分类专栏: 技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/talent210/article/details/100179756
版权

https://apereo.github.io/cas/5.3.x/installation/Configuring-Ticketing-Components.html

ticket : 访问令牌

ticket 需要配置2种组件

1,TicketRegistry  ticket存储

2,ExpirationPolicy  提供一种ticket的过期策略

首先介绍ticket过期策略

CAS支持多种策略框架来控制ticket的过期。不管ticket使用了何种分发方式:

ticket-granting tickets TGT

proxy-granting tickets PGT

services tickets ST

proxy tickets PT

说明:CAS集成了多种可选组件,每种组件都有一个TICKET的抽象。每种协议或组件也行会引入一种新的TICKET类型,会有各自的过期策略。所以选择某种组件时需要自己阅读相关文档

ticket-granting ticket策略

简单来说 就是用户已经授权了。 使用一个未过期的TICKET来重新请求新TICKET时不需要重新授权,如果使用了已经过期的,需要重新授权登录。 类似OAUTH2的refresh-token

# cas.ticket.tgt.onlyTrackMostRecentSession=true
# cas.ticket.tgt.maxLength=50

默认配置

# Set to a negative value to never expire tickets  负值就是永不过期
# cas.ticket.tgt.maxTimeToLiveInSeconds=28800
# cas.ticket.tgt.timeToKillInSeconds=7200

remember me配置

# cas.ticket.tgt.rememberMe.enabled=true
# cas.ticket.tgt.rememberMe.timeToKillInSeconds=28800

timeout:   most-recently-used 清理最近最多使用的过期策略  类型WEB应用SESSION过期策略

# cas.ticket.tgt.timeout.maxTimeToLiveInSeconds=28800

throttled timeout

扩展了timeout过期策略, 此种策略有一个throttling的概念,在此窗口,一个ticket最多每N秒使用一次。主要用来现在某些客户端配置错误,导致大量的请求

# cas.ticket.tgt.throttledTimeout.timeToKillInSeconds=28800
# cas.ticket.tgt.throttledTimeout.timeInBetweenUsesInSeconds=5

hard timeout

创建后一段时间后必须过期

# cas.ticket.tgt.hardTimeout.timeToKillInSeconds=28800

Service Ticket 策略

这种过期测试,设置一个时间范围,在此范围内一个授权的用户可以使用ST

TICKET 访问过N次后过期。或者空闲N秒后过期

# cas.ticket.st.maxLength=20
# cas.ticket.st.numberOfUses=1
# cas.ticket.st.timeToKillInSeconds=10

proxy ticket 策略

看起来和service ticket过期策略一样,也行实现不一样。。。 

 cas.ticket.pt.timeToKillInSeconds=10
# cas.ticket.pt.numberOfUses=1

Proxy-granting ticket策略

# cas.ticket.pgt.maxLength=50

在有效期内。 可以通过一个有效的PGT 来获取一个PT, 过期策略同ticket-granting ticket一致

TicketRegistry 

部署环境与技术经验通常决定了如何选择ticket存储组件

基于缓存的实现比较适合HA部署方式

基于内存(in_memory)的只能适合小应用系统

可以存储在数据库、缓存。具体实现包括:JMS hazelcast JPA ehcache memcached JPA redis mongodb等。

下文只接受将令牌存储在redis,基于MAVEN资源库

1,引入

<dependency>
    <groupId>org.apereo.cas</groupId>
    <artifactId>cas-server-support-redis-ticket-registry</artifactId>
    <version>${cas.version}</version><!-- 5.3.3 -->
</dependency>

存到REDIS的KEY,以CAS_TICKE:开头

配置:

cas.ticket.registry.redis.host=localhost
cas.ticket.registry.redis.database=0
cas.ticket.registry.redis.port=6380
cas.ticket.registry.redis.password=
cas.ticket.registry.redis.timeout=2000
cas.ticket.registry.redis.useSsl=false
cas.ticket.registry.redis.usePool=true

cas.ticket.registry.redis.pool.max-active=20
cas.ticket.registry.redis.pool.maxIdle=8
cas.ticket.registry.redis.pool.minIdle=0
cas.ticket.registry.redis.pool.maxActive=8
cas.ticket.registry.redis.pool.maxWait=-1
cas.ticket.registry.redis.pool.numTestsPerEvictionRun=0
cas.ticket.registry.redis.pool.softMinEvictableIdleTimeMillis=0
cas.ticket.registry.redis.pool.minEvictableIdleTimeMillis=0
cas.ticket.registry.redis.pool.lifo=true
cas.ticket.registry.redis.pool.fairness=false

cas.ticket.registry.redis.pool.testOnCreate=false
cas.ticket.registry.redis.pool.testOnBorrow=false
cas.ticket.registry.redis.pool.testOnReturn=false
cas.ticket.registry.redis.pool.testWhileIdle=false

cas.ticket.registry.redis.sentinel.master=mymaster
cas.ticket.registry.redis.sentinel.node[0]=localhost:26377
cas.ticket.registry.redis.sentinel.node[1]=localhost:26378
cas.ticket.registry.redis.sentinel.node[2]=localhost:26379

对ticket的签名加密设置:

configurationKey 的值是cas.ticket.registry.redis. 实际使用时没做签名加密.令牌本身也没业务状态,&签名后太长

# ${configurationKey}.crypto.signing.key=
# ${configurationKey}.crypto.signing.keySize=
# ${configurationKey}.crypto.encryption.key=
# ${configurationKey}.crypto.encryption.keySize=

ticket过期就是存reids时的过期时间 time
# ${configurationKey}.crypto.alg=AES
# ${configurationKey}.crypto.enabled=false

 

talent210
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
cas深度解析:cas 客户端是如何验证serviceTicket(简称st
2401_84024576的博客
04-09 844
AbstractUrlBasedTicketValidator,基于TicketValidator的验证;AbstractTicketValidationFilter,基于Filter的ticket的验证;当时这个项目是基于Filter集成的,在web.xml中配置了ticket验证的Filter。(img-fwNw2mKN-1712628652556)]本以为cas源码中提供的仅一种方式,于是乎想一探究竟,居然发现了多种。//从后端访问cas Server验证st的有效性。
cas入门之二十四:ticket的过期策略
热门推荐
snoopy
08-19 2万+
cas 提供了可插拔式的ticket过期策略框架用于tgt和st。在cas应用中,tgt和st的过期策略配置默认在cas/webapp/WEB-INF/spring-configuration/ticketExpirationPolicies.xml 文件中。在cas过期策略中,并没有明确指出哪一种ticket应用于哪一种过期策略,但是我们根据类名,还是能够进行区分的。但是并不能说明这个过期
Cas单点登录(7)Cas登录过期时间
祈雨v的博客
11-07 9445
1、修改Cas Server的CASTGC过期时间修改Cas Server下cas/WEB-INF/spring-configuration/ticketExpirationPolicies.xml(CASTGC的过期时间,单位为秒)<bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.Ticket
CAS ticket过期策略
weixin_30455067的博客
10-14 341
CAS提供可扩展的ticket过期策略,支持ticket-granting tickets (TGT)和service tickets (ST)的配置。 CAS客户端存储用户信息一般使用session,因此客户端用户登录过期时间应该还取决于客户端session的过期时间。 一、TGT的过期策略 1、TimeoutExpirationPolicy CAS默认使用该策略作为TGT的过期策略,该...
cas 入门之十三:ticket 存储方案之简介
杜海的博客
04-05 5252
cas认证过程中涉及两类ticket,一类是TGT,一类是ST,在默认的情况下,这些ticket是存储在服务端的内存中。为了更好的提高服务器的性能,以及cas服务器集群化,cas系统又提供了几种ticket的存储方案。cas一共提供了如下几种存储方案: ConcurrentHashMap ticket存储,这个也是默认存储方案; jpa ticket存储; ehcache ticket存储;
对于单点登录,你不得不了解的CAS
岁月下的车辙
02-06 1170
老余:上次你说到了CAS,你觉得CAS是什么?我:之前我们面试的时候,我讲了JWT单点登录带来的问题,然后慢慢优化,最后衍变成了中心化单点登录系统,也就是CAS的方案。CAS(Central Authentication Service),中心认证服务,就是单点登录的某种实现方案。你可以把它理解为它是一个登录中转站,通过SSO站点,既解决了Cookie跨域的问题,同时还通过SSO服务端实现了登录验证的中心化。这里的SSO指的是:SSO系统。
cas5.3.zip
01-08
这意味着CAS 5.3可以与数据库进行交互,存储和验证用户的凭证。通常,这些配置位于`cas.properties`文件中,包括数据库URL、用户名、密码、驱动类等属性。用户可以根据自己的数据库环境进行相应的修改。 4. **...
cas5.3.war
03-05
单点登陆cas5.3.war放到tomcat直接使用!
cas4.1.x集成 cas4.1.x集成
06-02
cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x集成cas4.1.x...
cas-overlay-template-5.3.zip,可以集成springboot,亲测可用。
09-27
在提供的压缩包`cas-overlay-template-5.3.zip`中,我们找到了CAS 5.3版本的源代码模板,这将帮助开发者快速构建自己的CAS服务器,并与Spring Boot集成。下面我们将详细讨论如何理解和利用这些资源。 首先,`cas-...
基于springboot,cas5.3,shiro,pac4j,rest接口获取ticket不再跳转cas server登录页
09-08
CAS 5.3版本引入了更多的改进和增强,包括支持RESTful API,使得与CAS交互更加灵活。 Shiro是Apache提供的一款轻量级的安全框架,用于实现身份认证、授权和会话管理。在Spring Boot应用中,Shiro可以轻松地集成并...
CAS TGT ST 过期策略
weixin_44446659的博客
04-15 1826
也就是说一旦TGT过期,所有的系统就都不能访问了,ST是针对每一个系统的。两者都是有默认的过期策略,都可以根据自己的需求设置自己的需要的过期策略。 # Default Expiration Policy # tgt.maxTimeToLiveInSeconds=28800 # tgt.timeToKillInSeconds=7200 上面是cas.properties中的默认过期策略,tg...
cas深度解析:cas 客户端是如何验证serviceTicket(简称st)的?
子涵先生
08-06 1万+
今天有同事问子涵先生,cas获取用户数据的时候,是请求了什么接口?额,,,一时语顿……似乎问题没提在点子上。 请求什么接口……明明是客户端远程请求cas Server验证了ticket之后,由cas Server重定向送过来的嘛!当然你也可以理解为请求了什么接口,只是这个接口的参数是ticket和客户端的serviceUrl组成的,对,就是你登录的那个url。想了解更多,请阅读下文吧。 本以为cas源码中提供的仅一种方式,于是乎想一探究竟,居然发现了多种。 cas ticke验证方式大体上讲有2个体系:.
关于CAS的TGT和Service Ticket的过期策略
为时已晚
05-24 1万+
首先说明一下什么是cas:cas是一套单点登录的框架,利用它可是实现登录一个账号就能访问多个相关系统的功能。它分为客户端Client和服务端Server,只要将开发单点登录的系统集成cas的客户端,然后部署好服务端,就可以实现多系统的单点登录。下面说一下cas的认证流程:1)用户访问cas-client,被拦截跳转到cas-server进行登录,输入正确的用户信息2)登录成功后,cas-serve...
单点登录cas常见问题(十四) - ST和TGT的过期策略是什么?
daobuxinzi的博客
01-05 870
ST和TGT的过期策略可以参看配置文件:ticketExpirationPolicies.xml 1、先说ST:ST的过期包括使用次数和时间,默认使用一次就过期,或者即使没有使用,一段时间后也要过期cas配置为OAuth服务器时,oauth中的授权码code也是用一次就过期,它和单点登录中的ST实际上是一个东西; st默认过期时间是10秒,这个st在oauth中作为授权码code使用,过期时间也是10秒(过期时间默认10秒,可以在cas.properties中修改# st.timeToKillIn...
cas5.3.9单点登录-总结遇到的坑
神奇de旋风的博客
06-28 1万+
cas5.3.9单点登录-总结遇到的坑前言cas简介术语解释Ticket Grangting Ticket(TGT)Ticket Granting Cookie(TGC)Service Ticket(ST)图解TGC与TGTServer与Client交互过程项目搭建项目文档项目二次开发项目二次开发遇到的问题SSL证书申请cas ticket过期策略cas client单机-单点退出cas clie......
CAS5 之 超时设置
GuanHao的博客
08-18 7219
TGT ST超时 详见TGT Expiration Policy https://apereo.github.io/cas/5.2.x/installation/Configuration-Properties.html#tgt-expiration-policy Ticket expiration policies are activated in the following order:...
CAS5.3X 之配置RememberMe & Cookie Secure属性影响
Jeffery的博客
06-03 1830
CAS5.3X 之配置RememberMe前言CAS 5.3X 之RememberMe分析实现RememberMe 之 TGC思考:是什么导致了TGC没有被写入cookie呢?总结问题原因解决 前言 今儿老大突然说我CAS项目的代码有问题,心态突然很慌,咋滴了又,都运行两年了,现在才出问题? 然后开始了捡起两年前代码的惊叹之路,连连感叹,这我写的啊? 嗯嗯,话不多说。。。 CAS 5.3X 之RememberMe 在前台加入以下代码: <section class="form-check" th
cas5.3.x数据库配置war包
最新发布
01-30
cas5.3.x是一个单点登录解决方案,支持使用多种数据库作为用户信息存储的后端。配置CAS 5.3.x的数据库需要进行以下步骤: 1. 准备数据库:首先需要准备一个用于存储CAS用户信息的数据库。可以选择使用MySQL、PostgreSQL等数据库。 2. 创建数据库表:使用CAS提供的数据库表结构脚本,可以根据所选的数据库类型执行相应的脚本。这些脚本可以在CAS的官方文档中找到。 3. 修改CAS配置文件:打开CAS的配置文件`/etc/cas/config/cas.properties`,找到数据库相关的配置项,并进行修改。根据使用的数据库类型,需要修改的配置项可能有不同的名称,但一般都包括数据库的URL、用户名、密码等信息。 4. 配置数据源:在CAS的配置文件中,还需要配置连接池和数据源信息。具体的配置方式与使用的数据库连接池有关,可以参考相关文档进行配置。 5. 重新启动CAS服务器:完成以上步骤后,保存配置文件并重新启动CAS服务器。CAS将使用配置的数据库作为用户信息的后端存储。 需要注意的是,以上步骤仅为大致的操作流程,具体的配置细节可能因CAS版本和数据库类型而有所差异。在进行数据库配置之前,建议先参考CAS的官方文档,了解相关的配置细节和注意事项。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值