解决jasig CAS server端 ticketGrantingTicket超时后的一个bug

最新推荐文章于 2021-03-22 10:34:39 发布
最新推荐文章于 2021-03-22 10:34:39 发布
阅读量2k 收藏
点赞数

原文:http://castte.iteye.com/blog/1255308

最近研究cas,发现在设置ticketGrantingTicket超时后,打开https://tski.com:8443/cas 仍然显示成功


ticketExpirationPolicies.xml
Xml代码 复制代码  收藏代码
  1. <!-- This argument is the time a ticket can exist before its considered expired. 设置为5秒超时-->  
  2. <bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.TimeoutExpirationPolicy">  
  3.        
  4.     <constructor-arg  
  5.         index="0"  
  6.         value="5000" />  
  7. </bean>   
	<!-- This argument is the time a ticket can exist before its considered expired. 设置为5秒超时-->
	<bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.TimeoutExpirationPolicy">
		
		<constructor-arg
			index="0"
			value="5000" />
	</bean>


ticketRegistry.xml
Xml代码 复制代码  收藏代码
  1. <!-- 10秒检查一次是否有ticket需要clean  -->  
  2.     <bean id="triggerJobDetailTicketRegistryCleaner" class="org.springframework.scheduling.quartz.SimpleTriggerBean"  
  3.         p:jobDetail-ref="jobDetailTicketRegistryCleaner"  
  4.         p:startDelay="2000"  
  5.         p:repeatInterval="10000" />  
<!-- 10秒检查一次是否有ticket需要clean  -->
	<bean id="triggerJobDetailTicketRegistryCleaner" class="org.springframework.scheduling.quartz.SimpleTriggerBean"
		p:jobDetail-ref="jobDetailTicketRegistryCleaner"
		p:startDelay="2000"
		p:repeatInterval="10000" />


仍然显示成功



所以猜测,TGT超时与使用https://tski.com:8443/cas/logout 不同地方在于,后者清除了cookie中的TGT

于是找到logout的处理代码
org.jasig.cas.web.LogoutController
Java代码 复制代码  收藏代码
  1. protected ModelAndView handleRequestInternal(   
  2.     final HttpServletRequest request, final HttpServletResponse response)   
  3.     throws Exception {   
  4.     final String ticketGrantingTicketId = this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request);   
  5.     final String service = request.getParameter("service");   
  6.   
  7.     if (ticketGrantingTicketId != null) {   
  8.         this.centralAuthenticationService   
  9.             .destroyTicketGrantingTicket(ticketGrantingTicketId);   
  10.         //清除cookie   
  11.         this.ticketGrantingTicketCookieGenerator.removeCookie(response);   
  12.         this.warnCookieGenerator.removeCookie(response);   
  13.     }   
  14.   
  15.     if (this.followServiceRedirects && service != null) {   
  16.         return new ModelAndView(new RedirectView(service));   
  17.     }   
  18.   
  19.     return new ModelAndView(this.logoutView);   
  20. }  
    protected ModelAndView handleRequestInternal(
        final HttpServletRequest request, final HttpServletResponse response)
        throws Exception {
        final String ticketGrantingTicketId = this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request);
        final String service = request.getParameter("service");

        if (ticketGrantingTicketId != null) {
            this.centralAuthenticationService
                .destroyTicketGrantingTicket(ticketGrantingTicketId);
            //清除cookie
            this.ticketGrantingTicketCookieGenerator.removeCookie(response);
            this.warnCookieGenerator.removeCookie(response);
        }

        if (this.followServiceRedirects && service != null) {
            return new ModelAndView(new RedirectView(service));
        }

        return new ModelAndView(this.logoutView);
    }


而TGT超时时,cas server 不能获取cookie

继续猜测,打开https://tski.com:8443/cas时,cas server只判断了cookie中是否有TGT,但是没判断org.jasig.cas.ticket.registry.TicketRegistry中是否还存在TGT。

找到login-webflow.xml
Xml代码 复制代码  收藏代码
  1.        
  2.   
  3. <!-- 在flowScope.ticketGrantingTicketId && flowScope.service 为null的情况下,页面会跳转到viewGenericLoginSuccess -->  
  4. <on-start>  
  5.         <evaluate expression="initialFlowSetupAction" />  
  6.     </on-start>  
  7.   
  8.     <decision-state id="ticketGrantingTicketExistsCheck">  
  9.         <if test="flowScope.ticketGrantingTicketId neq null" then="hasServiceCheck" else="gatewayRequestCheck" />  
  10.     </decision-state>  
  11.        
  12.     ...    
  13.     <decision-state id="hasServiceCheck">  
  14.         <if test="flowScope.service != null" then="renewRequestCheck" else="viewGenericLoginSuccess" />  
  15.     </decision-state>  
    

<!-- 在flowScope.ticketGrantingTicketId && flowScope.service 为null的情况下,页面会跳转到viewGenericLoginSuccess -->
<on-start>
        <evaluate expression="initialFlowSetupAction" />
    </on-start>

	<decision-state id="ticketGrantingTicketExistsCheck">
		<if test="flowScope.ticketGrantingTicketId neq null" then="hasServiceCheck" else="gatewayRequestCheck" />
	</decision-state>
    
	...	
	<decision-state id="hasServiceCheck">
		<if test="flowScope.service != null" then="renewRequestCheck" else="viewGenericLoginSuccess" />
	</decision-state>


所以现在要确认flowScope.ticketGrantingTicketId , flowScope.service 是什么东西
找到org.jasig.cas.web.flow.InitialFlowSetupAction
Java代码 复制代码  收藏代码
  1.     protected Event doExecute(final RequestContext context) throws Exception {   
  2.         final HttpServletRequest request = WebUtils.getHttpServletRequest(context);   
  3.         if (!this.pathPopulated) {   
  4.             ...        }   
  5.   
  6. //ticketGrantingTicketId是从cookie里取的,问题很清楚了   
  7.         context.getFlowScope().put(   
  8.             "ticketGrantingTicketId"this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request));   
  9.         context.getFlowScope().put(   
  10.             "warnCookieValue",   
  11.             Boolean.valueOf(this.warnCookieGenerator.retrieveCookieValue(request)));   
  12. //service 只有在从其他系统跳转到cas server时才可能不是null   
  13.         final Service service = WebUtils.getService(this.argumentExtractors,   
  14.             context);   
  15.   
  16.         if (service != null && logger.isDebugEnabled()) {   
  17.             logger.debug("Placing service in FlowScope: " + service.getId());   
  18.         }   
  19.   
  20.         context.getFlowScope().put("service", service);   
  21.   
  22.         return result("success");   
  23.     }  
	protected Event doExecute(final RequestContext context) throws Exception {
        final HttpServletRequest request = WebUtils.getHttpServletRequest(context);
        if (!this.pathPopulated) {
            ...        }

//ticketGrantingTicketId是从cookie里取的,问题很清楚了
        context.getFlowScope().put(
            "ticketGrantingTicketId", this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request));
        context.getFlowScope().put(
            "warnCookieValue",
            Boolean.valueOf(this.warnCookieGenerator.retrieveCookieValue(request)));
//service 只有在从其他系统跳转到cas server时才可能不是null
        final Service service = WebUtils.getService(this.argumentExtractors,
            context);

        if (service != null && logger.isDebugEnabled()) {
            logger.debug("Placing service in FlowScope: " + service.getId());
        }

        context.getFlowScope().put("service", service);

        return result("success");
    }


最后,修改代码
org.jasig.cas.web.flow.InitialFlowSetupAction
Java代码 复制代码  收藏代码
  1. //注入 ticketRegistry   
  2.  @NotNull  
  3.     private TicketRegistry ticketRegistry;   
  4.   
  5.     public TicketRegistry getTicketRegistry() {   
  6.         return ticketRegistry;   
  7.     }   
  8.   
  9.     public void setTicketRegistry(TicketRegistry ticketRegistry) {   
  10.         this.ticketRegistry = ticketRegistry;   
  11.     }   
  12.   
  13.   
  14.   
  15.     protected Event doExecute(final RequestContext context) throws Exception {   
  16.         final HttpServletRequest request = WebUtils.getHttpServletRequest(context);   
  17.         if (!this.pathPopulated) {   
  18.             ...        }   
  19. //从ticketRegistry中获取TGT   
  20.         context.getFlowScope().put(   
  21.             "ticketGrantingTicketId", ticketRegistry.getTicket(this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request)));   
  22.         context.getFlowScope().put(   
  23.             "warnCookieValue",   
  24.             Boolean.valueOf(this.warnCookieGenerator.retrieveCookieValue(request)));   
  25.   
  26.         final Service service = WebUtils.getService(this.argumentExtractors,   
  27.             context);   
  28.   
  29.         if (service != null && logger.isDebugEnabled()) {   
  30.             logger.debug("Placing service in FlowScope: " + service.getId());   
  31.         }   
  32.   
  33.         context.getFlowScope().put("service", service);   
  34.   
  35.         return result("success");   
  36.     }  
//注入 ticketRegistry
 @NotNull
    private TicketRegistry ticketRegistry;

    public TicketRegistry getTicketRegistry() {
		return ticketRegistry;
	}

	public void setTicketRegistry(TicketRegistry ticketRegistry) {
		this.ticketRegistry = ticketRegistry;
	}



	protected Event doExecute(final RequestContext context) throws Exception {
        final HttpServletRequest request = WebUtils.getHttpServletRequest(context);
        if (!this.pathPopulated) {
            ...        }
//从ticketRegistry中获取TGT
        context.getFlowScope().put(
            "ticketGrantingTicketId", ticketRegistry.getTicket(this.ticketGrantingTicketCookieGenerator.retrieveCookieValue(request)));
        context.getFlowScope().put(
            "warnCookieValue",
            Boolean.valueOf(this.warnCookieGenerator.retrieveCookieValue(request)));

        final Service service = WebUtils.getService(this.argumentExtractors,
            context);

        if (service != null && logger.isDebugEnabled()) {
            logger.debug("Placing service in FlowScope: " + service.getId());
        }

        context.getFlowScope().put("service", service);

        return result("success");
    }


修改cas-servlet.xml
Xml代码 复制代码  收藏代码
  1. <!-- 最后一行 p:ticketRegistry-ref="ticketRegistry"  ,注入ticketRegistry -->  
  2.     <bean id="initialFlowSetupAction" class="org.jasig.cas.web.flow.InitialFlowSetupAction"  
  3.         p:argumentExtractors-ref="argumentExtractors"  
  4.         p:warnCookieGenerator-ref="warnCookieGenerator"  
  5.         p:ticketGrantingTicketCookieGenerator-ref="ticketGrantingTicketCookieGenerator"    
  6.         p:ticketRegistry-ref="ticketRegistry"/>  

 

猥琐程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
cas client 更新ticket_org.jasig.cas.client校验
weixin_39912580的博客
12-22 614
AbstractTicketValidationFilterorg.jasig.cas.client.validation.AbstractTicketValidationFilterpublic final void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse,final ...
CAS总结之Ticket篇(转,非常详细,后文还提到一个ppt,非常易懂)
热门推荐
燃烧JAVA
07-18 1万+
CAS的核心就是其Ticket,及其在Ticket之上的一系列处理操作。CAS的主要票据有TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中有的票据。   一 名词解释 TGT(Ticket Grangting Ticket) TGT是CAS为用户签发的登录票据,拥有了TGT,用户就可以证明自己在
java中的grant,Java ServiceTicket.grantTicketGrantingTicket方法代码示例
weixin_36208265的博客
03-14 191
import org.jasig.cas.ticket.ServiceTicket; //导入方法依赖的package包/类/*** @throws IllegalArgumentException if the ServiceTicketId or the* Credential are null.*/@Audit(action="PROXY_GRANTING_TICKET",actionRes...
CAS单点登录开源框架解读(五)--CAS单点登录服务认证之用户认证
joeljx的专栏
03-29 2554
如何进行用户身份认证 在第四章节中已经分析了如何输入请求地址跳转到登录页面的流程,下面就要进行登录页面输入用户信息进行用户认证的具体流程。 行为状态realSubmit *login-webflow.xml:* <action-state id="realSubmit"> <evaluate expression="authenticati...
CAS4.10单点登录实战:cas server去掉https验证
十年呵护的专栏
01-01 450
简介 如下图所示,部署启动cas后,访问首页出现以下错误 cas默认是采用https模式的,我们没有配置证书,所以要么配置证书,要么取消https的过滤,让http协议也能访问 解决方案:cas server去掉https验证 解决步骤 修改https为http访问步骤:修正配置(3个): ticketGrantingTicketCookieGenerator.xml deploy...
CAS jasig SSO单点登录解决方案完整版
04-14
cas-client-core-3.2.1.jar LoginImpl.java LoginServlet.java SSOClientFilter.java web.xml 电子政务平台单点登录集成手册v4.0-2017年2月9日.docx
cas:Jasig CAS 4.1 Docker映像,具有战争建立,ldap,数据库和cas管理支持
05-04
#DockerFile用于具有cas-management的JASIG CAS Jasig Cas 4.1映像 ##先决条件 码头工人 JVM和Maven(战争大楼) 码头工人组成 ssl证书 ## image build mvn clean package; docker-compose rm -f; docker-compose ...
jasig cas4.1.4+oracle数据库认证
07-21
Jasig Central Authentication Service(CAS)是一个开源的身份验证框架,主要用于实现单点登录(Single Sign-On, SSO)。它允许用户在一个应用系统中登录后,无需再次认证即可访问其他集成的应用系统。CAS 4.1.4 是...
Cas Server 3.4.2 和 Cas Client 3.1.6 的源代码
07-25
如果认证成功,Cas Server 会返回一个服务票证(ST),用户携带此票证访问应用,应用会向 Cas Server 验证票证,验证通过后允许用户访问。 3. **协议支持**:Cas Server 支持多种协议,如 CAS v1、v2、v3,SAML 1.1...
cas:已打补丁的JASIG CAS服务器,用于Eureka进行身份验证!
05-12
这是一个修补的服务器,用于Eureka进行身份验证! 临床项目。 它在所有尤里卡上提供单一登录! 临床微服务,因此允许将微服务组合为单个集成应用程序。 它可以提供自己的屏幕供用户输入凭据,并根据或LDAP服务器...
php cas不能登出,CAS 4.1.x 单点登出(退出登录)的原理解析
weixin_29039773的博客
03-22 905
我们在项目中使用了cas作为单点登录的解决方案,当在集成shiro做统一权限控制的时候,发现单点退出登录有坑,所以啃了一下CAS的单点登出的源码,在此分享一下。1、回顾单点登录中一些关键事件在解析CAS单点登出的原理之前,我们先回顾一下在单点登录过程中,CAS服务器和CAS客户都做了一些什么事,这些事在后面解析单点登出时有助于理解。一般情况下,在项目中使用cas client提供的几个过滤器实现...
CAS研究(四)-登出/logout
yuwenruli的专栏
07-20 1万+
很多童鞋对单点登出不是很理解,下面我们来看看单点登出到底做了什么东西,我们来看看怎么从配置到代码的。1)web.xmlcom.bingo.tfp.web.init.SafeDispatcherServlet cas /logout 从上面可以知道,所有/logout的请求都
单点登录(二):原理代码分析
Allen
01-10 6832
主要分析: 用户第一次发送请求--->CAS客户转发至CAS服务器---->CAS服务器返回登录页--->用户登录(输入帐号密码)发送至CAS服务器----->CAS服务器认证------>重定向目标资源。 一.用户第一次发送请求----->CAS客户转发      1.1 用户首次访问,过滤器拦截      1.2 过滤器doFilter()具体操作
cas 入门之十五:ticket 存储方案-jpa ticket存储
snoopy
07-04 1万+
jpa ticket存储,也就是可以让casticket存储在后的数据库,比如oracle,mysql等。这个功能可以让我们来构建高可用的cas 服务器集群。 下面我会描述具体的配置,让cas如何将ticket存入后oracle数据库,我在实际生产应用中也是存入oracle数据库的,因为公司只有oracle数据库。 其实存在哪个数据库都一样,相互转换很容易,只需要更改一下数据源及数据库驱
sso cas4.0改造历程--spring-webflow篇
sinat_20689109的专栏
02-07 7178
前言: 如果想要对CAS做业务流程的添加(譬如:添加验证码,记录用户登陆信息,用户特征分析等等),势必不能回避spring-webflow的理解。尤其是想要摸清楚src\main\webapp\WEB-INF\下的login-webflow.xml以及logout-webflow.xml这两个文件,弄清楚单点登陆以及登出的流程。磨刀不误砍柴工,下面我们就来看看什么是spring-webflo
CAS 过期时间设置无效
Black Monkey
11-07 8078
这是由于CAS本身的一个Bug引起的 。 分析: 定时器 org.jasig.cas.ticket.registry.support.DefaultTicketRegistryCleaner 核心代码如下: final List ticketsToRemove = new ArrayList(); final Collection t
使用CAS在Tomcat中开发统一用户管理系统
jsczcf的专栏
02-13 5366
与别的公司对接开发单点系统的客户,领导讲最好我们也开发一套单点登录系统,于是自己研究了几天,也使用CAS开发了一套单点当了系统,记录步骤如下,以备以后参考: 1、服务 1)、下载cas,并配置成完整项目 下载地址:https://www.apereo.org/cas/download    在Download CAS Server栏目下点击对应版本的zip即可下载,我下载的是cas
单点登录(七)-----实战-----cas server去掉https验证
直到世界的尽头
02-07 1万+
我们在搭建cas中已经说过如果不搭建https证书体系的需要去掉https的验证:  单点登录(二)----实战------简单搭建CAS---测试认证方式搭建CAS因为cas4.2以上的代码做了一些框架的优化,4.2以下的版本的很多配置都是写在xml文件中。4.2以上统一提取到了cas.properties文件中。所以在去掉https的时候 方式也有所变化。现在网上查到的资料很多都还停留在对4.
单点登录(六)cas改造——退出到指定页面
小小_一路走一路成长
09-26 3724
CAS退出默认是转向CAS内置的退出页面,在实际应用中需要跳转到自己指定的页面。退出转向决定于org.jasig.cas.web.LogoutController,我们看一下原代码。 protected ModelAndView handleRequestInternal( final HttpServletRequest request, final HttpServlet
cas server登录成功后 重定向指定的客户路径 如何设置
最新发布
06-08
CAS服务中,可以在`cas.properties`配置文件中设置`cas.login.redirectParameter`参数,该参数指定了登录成功后重定向到客户应用程序时所需的参数名,默认值为`service`。如果您想要将用户重定向到客户应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值