CAS单点登录-单用户登录(十九)

最新推荐文章于 2024-09-09 18:37:34 发布
置顶 最新推荐文章于 2024-09-09 18:37:34 发布
阅读量1w 收藏 19
点赞数 2
分类专栏: cas spring 文章标签: cas sso 单点登录 单用户登录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010475041/article/details/78662266
版权
cas 同时被 2 个专栏收录
20 篇文章 157 订阅
订阅专栏
spring
14 篇文章 0 订阅
订阅专栏

CAS单点登录-单用户登录(十九)

简介

所谓“单用户单账户登录”是指:在同一系统中,一个用户名不能在两个地方同时登录。

如:
当某账号在 A 处登录后,在未退出的情况下,如果再到 B 处登录,那么,系统会挤下 A 处登录的账号

程序逻辑

我们一路学习cas过来应该知道如下知识

  1. 维持一个用户状态是用tgt
  2. 用户登录成功后tgt会创建
  3. 业务系统验证成功是采用st的校验
  4. 用户注销相当于删除tgt
  5. 删除tgt采用CentralAuthenticationService.destroyTicketGrantingTicket

有以上的知识我们即可对其他用户的提出,程序应该满足以下逻辑:

  1. 监听tgt创建事件
  2. 获取用户id,以及tgt
  3. 根据用户id,认证方式clientName寻找所有的tgt
  4. 过滤非当前用户的tgt的所有tgt
  5. 删除过滤后的tgt(正确的逻辑过滤后一般情况剩下一个,因为已经单用户登录了)

第三点详解:
为什么要采用clientName进行过滤呢,因为认证平台可能通过restful认证,qq、github、微信的OAuth2认证等等,所以认证方式不同,最后的用户id以及clientName会不同,所以要根据用户认证方式以及id,找到所有该用户的认证方式进行删除tgt,否则会出现,oauth2登录的用户用账号登录无法强制注销

实战

TGT创建监听

这个监听是为了用户登录成功后对其他用户进行剔除

TGTCreateEventListener.java

/*
 * 版权所有.(c)2008-2017. 卡尔科技工作室
 */

package com.carl.sso.support.single.listener;

import com.carl.sso.support.single.service.IUserIdObtainService;
import com.carl.sso.support.single.service.TriggerLogoutService;
import org.apereo.cas.support.events.ticket.CasTicketGrantingTicketCreatedEvent;
import org.apereo.cas.ticket.TicketGrantingTicket;
import org.springframework.context.event.EventListener;
import org.springframework.scheduling.annotation.Async;

import javax.validation.constraints.NotNull;
import java.util.List;

/**
 * 识别事件然后删除
 *
 * @author Carl
 * @version 创建时间:2017/11/29
 */
public class TGTCreateEventListener {
    private TriggerLogoutService logoutService;
    private IUserIdObtainService service;

    public TGTCreateEventListener(@NotNull TriggerLogoutService logoutService, @NotNull IUserIdObtainService service) {
        this.logoutService = logoutService;
        this.service = service;
    }

    @EventListener
    @Async
    public void onTgtCreateEvent(CasTicketGrantingTicketCreatedEvent event) {
        TicketGrantingTicket ticketGrantingTicket = event.getTicketGrantingTicket();
        String id = ticketGrantingTicket.getAuthentication().getPrincipal().getId();
        String tgt = ticketGrantingTicket.getId();
        String clientName = (String) ticketGrantingTicket.getAuthentication().getAttributes().get("clientName");
        //获取可以认证的id
        List<String> authIds = service.obtain(clientName, id);
        if (authIds != null) {
            //循环触发登出
            authIds.forEach(authId -> logoutService.triggerLogout(authId, tgt));
        }
    }
}

剔除过滤用户

根据用户id,tgt,筛选出用户,并剔除

TriggerLogoutService.java

/*
 * 版权所有.(c)2008-2017. 卡尔科技工作室
 */



package com.carl.sso.support.single.service;

import org.apereo.cas.CentralAuthenticationService;
import org.apereo.cas.authentication.Authentication;
import org.apereo.cas.ticket.Ticket;
import org.apereo.cas.ticket.TicketGrantingTicket;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import java.util.Collection;

/**
 * 登出触发器
 *
 * @author Carl
 * @date 2017/11/29
 */
public class TriggerLogoutService {
    private static final Logger LOGGER = LoggerFactory.getLogger(TriggerLogoutService.class);
    private CentralAuthenticationService service;

    public TriggerLogoutService(CentralAuthenticationService service) {
        this.service = service;
    }

    /**
     * 触发其他用户退出
     *
     * @param id  用户id
     * @param tgt 当前登录的tgt
     */
    public void triggerLogout(String id, String tgt) {
        //找出用户id,并且不为当前tgt的,这里应当考虑数据性能,直接筛选用户再筛选tgt
        Collection<Ticket> tickets = this.service.getTickets(ticket -> {
            if(ticket instanceof TicketGrantingTicket) {
                TicketGrantingTicket t = ((TicketGrantingTicket)ticket).getRoot();
                Authentication authentication = t.getAuthentication();
                return t != null && authentication != null
                        && authentication.getPrincipal() != null && id.equals(authentication.getPrincipal().getId())
                        && !tgt.equals(t.getId());
            } else {
                return false;
            }

        });

        if (tickets != null && tickets.size() > 0) {
            LOGGER.info(String.format("[%s]强制强制注销%s", id, tickets.size()));
        }

        //发出注销
        for (Ticket ticket : tickets) {
            service.destroyTicketGrantingTicket(ticket.getId());
        }
    }
}

获取用户id

UserIdObtainServiceImpl.java

/*
 * 版权所有.(c)2008-2017. 卡尔科技工作室
 */

package com.carl.sso.support.single.service;


import java.util.ArrayList;
import java.util.List;

/**
 * @author Carl
 * @version 创建时间:2017/11/29
 */
public class UserIdObtainServiceImpl implements IUserIdObtainService {

    public UserIdObtainServiceImpl() {

    }

    @Override
    public List<String> obtain(String clientName, String id) {
        //由于这里目前只做测试所以只返回当前的id,在正常的情况逻辑应该如下

        //根据校验client以及登录的id找到其他同一个用户的所有校验id返回,如通过邮箱登录的id,通过github登录的id等等
        List<String> ids = new ArrayList<>();
        ids.add(id);
        return ids;
    }
}

spring配置注册

SingleLogoutTriggerConfiguration.java

/*
 * 版权所有.(c)2008-2017. 卡尔科技工作室
 */


package com.carl.sso.support.single.config;

import com.carl.sso.support.single.listener.TGTCreateEventListener;
import com.carl.sso.support.single.service.TriggerLogoutService;
import com.carl.sso.support.single.service.UserIdObtainServiceImpl;
import org.apereo.cas.CentralAuthenticationService;
import org.apereo.cas.configuration.CasConfigurationProperties;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.context.properties.EnableConfigurationProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * 登出配置
 *
 * @author Carl
 * @date 2017/11/29
 */
@Configuration("singleLogoutTriggerConfiguration")
@EnableConfigurationProperties(CasConfigurationProperties.class)
public class SingleLogoutTriggerConfiguration {
    @Autowired
    private CentralAuthenticationService centralAuthenticationService;

    /**
     * 触发登出服务
     *
     * @return 触发登出服务
     */
    @Bean
    protected TriggerLogoutService triggerLogoutService() {
        return new TriggerLogoutService(centralAuthenticationService);
    }

    @Bean
    //注册事件监听tgt的创建
    protected TGTCreateEventListener tgtCreateEventListener() {
        TGTCreateEventListener listener = new TGTCreateEventListener(triggerLogoutService(), new UserIdObtainServiceImpl());
        return listener;
    }
}

测试

代码提交可以参考github提交

测试流程:

在chrome浏览器登陆,然后在IE浏览器登陆同样的账号,chrome浏览器的用户已登出

下载代码尝试:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aOLNA5A3-1611805583688)(https://img.shields.io/badge/downloads-v1.7.0=RC1-brightgreen.svg)] 其他版本可以到GitHub或者码云查看

发现一些意外的事情可以考虑翻翻前面的博客进行学习哦

作者联系方式

如果技术的交流或者疑问可以联系或者提出issue。

邮箱:huang.wenbin@foxmail.com

QQ: 756884434 (请注明:SSO-CSDN)

悟空_
关注
专栏目录
用户登录
02-16
登录代码:protected void Button1_Click(object sender, EventArgs e) { SqlConnection myCon = new SqlConnection("Server=(local);Database=db_SingleuserLogin;User Id=sa;Password=111111"); myCon.Open(); SqlCommand myCom = new SqlCommand("select count(*) from tb_Login where UserID= '" + TextBox1.Text.Trim() + "' and UserPwd='" + TextBox2.Text.Trim() + "'", myCon); int i = Convert.ToInt32(myCom.ExecuteScalar()); if (i > 0) Response.Redirect("Main.aspx"); else Response.Write("<script language=javascript>alert('你是非法用户或密码错误!')</script>"); myCon.Close(); } protected void Button2_Click(object sender, EventArgs e) { TextBox1.Text = ""; TextBox2.Text = ""; }
Cas实现子系统登录互踢
大脸猫的博客
05-07 1235
实现思路 1.一个类,类中维护着一个已登录用户的map,每次登录取出上次该用户对应的session;并给session添加一个过期的属性标识lastHttpSession.setAttribute(BE_KICKED,"您的账号在另一地点登录,您被迫下线") 2.写一个sessionFilter,该sessionFilter取出每个request请求实例中维护的session,判断sessio...
cas单点登录流程揭密
最新发布
zwjzone的博客
09-09 1339
cas中的Cookie、Session运用流程
对于单点登录,你不得不了解的CAS
m0_71777195的博客
02-08 2483
老余:上次你说到了CAS,你觉得CAS是什么?我:之前我们面试的时候,我讲了JWT单点登录带来的问题,然后慢慢优化,最后衍变成了中心化单点登录系统,也就是CAS的方案。CAS(Central Authentication Service),中心认证服务,就是单点登录的某种实现方案。你可以把它理解为它是一个登录中转站,通过SSO站点,既解决了Cookie跨域的问题,同时还通过SSO服务端实现了登录验证的中心化。这里的SSO指的是:SSO系统。
CAS实现同帐号当前登录成功踢出前一登录终端(用户登录
tian3559060的博客
05-03 5615
公司应用线很多,使用CAS4.1.10作为单点登录中心,自己实现了点登出功能,但是发现CAS在发生账号复用的时候产生点登出失败的问题。名词解释:TGT:TicketGrantingTicket;ST:ServiceTicket表现为:A在自己电脑上使用001帐号登录了数个应用,此后B也在自己的电脑上使用001帐号登录了数个应用;此后A的电脑上的应用将出现无法点登出的问题。原因是登出时将注销...
CAS点登出实现同帐号当前登录成功踢出前一登录终端
喵″的博客
11-18 7037
需求:张三在自己电脑上登录了admin帐号,然后又去李四电脑上登录帐号,登录成功后系统踢出张三电脑上的帐号认证。 方案:每次在CAS服务端登录成功时记录当前登录帐号(唯一)(List)。每次登录操作之前,验证当前登录帐号是否存在缓存中,如果存在就去找CAS的ticket缓存(我是直接用的CAS的缓存机制,有心人可以自己封装缓存信息),然后遍历缓存找到当前用户匹配的ticket,找到后执行tick
Django集成CAS单点登录的方法示例
09-19
通过以上步骤,我们可以顺利地在Django应用中集成CAS单点登录功能,从而提高应用的安全性和用户体验。CAS不仅简化了多应用间的认证流程,还增强了整体的安全性,是现代Web开发中不可或缺的一部分。
springboot集成CAS实现单点登录的示例代码
08-19
SpringBoot集成CAS实现单点登录是一项常见的企业级应用技术,旨在提供用户一次登录即可访问多个系统的便捷体验。CAS(Central Authentication Service)是一个开源的身份验证框架,它允许用户在一个集中的服务器上...
cas-3.4.1_单点登录_CAS_
09-29
CAS(Central Authentication Service)是Java开发的一个开源的单点登录(Single Sign-On,简称SSO)框架,主要用于解决网络应用中的身份验证问题。在“cas-3.4.1_单点登录_CAS_”这个项目中,你将获得一个完整的CAS...
单点登录sso-shiro-cas-maven
10-19
spring下使用shiro+cas配置单点登录,多个系统之间的访问,每次只需要登录一次 ## 系统模块说明 1. cas单点登录模块,这里直接拿的是cas的项目改了点样式而已 2. doc: 文档目录,里面有数据库生成语句,采用的...
CAS单点登录demo.rar
11-13
该演示项目将通过简而清晰的代码示例,演示CAS单点登录的基本原理、配置步骤以及如何集成CAS客户端到你的应用中。 适用人群: 这个资源适用于具有一定Java编程和Web开发经验的开发人员,特别是那些对单点登录和...
CAS点登出,调整CAS源码,实现前后端分离点登出、清除redis、shiro登录状态
左疼右疼的专栏
05-27 2574
点登出,调整CAS源码,实现清除redis、shiro登录状态。
CAS实现同帐号当前登录成功踢出前一登录终端(CAS服务端为4.0.0)
baidu_38951822的博客
11-01 639
经过上网查看资料发现用户登陆主要就是涉及到票据与用户之间的关系,参考两篇博文(原文链接在文章底部),现整理如下: 管理登录时TGT与ST颁发的代码内容在 org.jasig.cas.CentralAuthenticationServiceImpl 这个类当中, 在这个类中首先先验证用户名,密码。然后进行创建TGT,ST,然后在缓存TGT,并且ST有效性的验证,以及销毁TGT都是在这个类中。 ...
CAS实现同帐号当前登录成功踢出前一登录终端
qq_36956015的博客
07-22 617
CAS实现同帐号当前登录成功踢出前一登录终端: https://blog.csdn.net/tian3559060/article/details/80166877
CAS单点登录(十一)——点退出
Anumbrella
04-07 1万+
在前面我们讲解了CAS单点登录客户端接入,对于CAS的登录有了更清楚的了解,今天我们讲解一下在CAS中的点退出问题。 首先我们要明白点退出(点注销)与注销的区别: 其实官方文档也给我们详细的解释了: 注销: 1. 应用程序注销 - 结束个应用程序话 2. CAS注销 - 结束CAS SSO话 请注意,在简的情况下,每种情况下的注销操作对另一种情况都没有影响。 而点注销(SL...
基于 CAS 实现通用的单点登录解决方案(三):用户点退出实现
qq_32421489的博客
12-26 1715
原理概述 基于 CAS 单点登录系统的退出主要包含两个部分: CAS 客户端应用的退出 CAS 服务端退出登录状态 我们在 CAS 客户端应用退出后将页面重定向到服务端退出登录状态,然后通过传递过去的回跳地址跳转回客户端应用退出后跳转页面。当然,此时通过单点登录的其它客户端系统还是处于登录状态的,需要等到对应 Session 过期后才能退出,因为我们使用的 CAS 扩展包是基于 PHP 自带的 Session 实现的登录操作,生成的用于存储 Session ID 的 Cookie 完全是随机的,跟..
用户登录,即当前用户登录后要踢出前一个登录,即做出踢人效果,如何实现?
热门推荐
Ideality_hunter的专栏
10-24 1万+
用户登录,即当前用户登录后要踢出前一个登录,即做出踢人效果,如何实现? 一般情况下,用户登录,有两种方式:cookie方式,session方式。一般情况下,session方式是使用最多的。 一、关于session方式原理: 1)浏览器端发起请求,浏览器的cookie中有jsessionId,随着http 请求,被发送到tomcat服务器端。 2)浏览器端的
php cas不能登出,CAS 4.1.x 点登出(退出登录)的原理解析
weixin_29039773的博客
03-22 969
我们在项目中使用了cas作为单点登录的解决方案,当在集成shiro做统一权限控制的时候,发现点退出登录有坑,所以啃了一下CAS点登出的源码,在此分享一下。1、回顾单点登录中一些关键事件在解析CAS点登出的原理之前,我们先回顾一下在单点登录过程中,CAS服务器和CAS客户端都做了一些什么事,这些事在后面解析点登出时有助于理解。一般情况下,在项目中使用cas client提供的几个过滤器实现...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值