shiro cas 单点登录 两个cas client,一个登出另外一个没登出

最新推荐文章于 2022-05-27 15:47:34 发布
最新推荐文章于 2022-05-27 15:47:34 发布
阅读量842 收藏 2
点赞数
文章标签: python java
原文链接:https://my.oschina.net/u/782865/blog/802982
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

问题表现:两个站点使用同一个cas单点登录,登录后,在A系统登出,B系统也同时登;而在B系统登出A系统未登出;

问题原因:A系统没有实现cas的logout逻辑。需要实现logoutFilter逻辑;在请求cas.example.com/cas/logout时,Cas Server会将客户端携带的TGT删除,同时回调该TGT对应的所有service;所以cas client需要实现登出逻辑,使会话失效;

参考:http://elim.iteye.com/blog/2144265

 

-----------------------------------------------我来分隔-----------------------------------------------------

一开始并不知道这套逻辑;只从表现出来的差异去查找。

表现:在A系统登出,再去刷新B系统页面;会得到一个新的JSESSIONID, 也就是服务端把当前连接当成新的会话;

查找JSESSIONID的生成代码。一开始想到应该是tomcat生成的,所以根据http://stackoverflow.com/questions/595872/under-what-conditions-is-a-jsessionid-created;提供的说法,在调用request.getSession()或request.getSession(true)时触发是否生成JSESSIONID(根据请求头是否带有JSESSIONID的cookie);其中找到:

JSESSIONID这个字符串值定义在: tomcat-embed-core.jar下的org.apache.catalina.util.SessionConfig类下的一个常量属性;

把JSESSIONID植入cookie的是 org.apache.catalina.connector.Request类的doGetSession方法;

如果使用了Shiro,shiro会拦截以上步骤,覆盖为自己的实现;

shiro中也默认是JSESSIONID,定义在org.apache.shiro.web.servlet.ShiroHttpSession类下的属性;

session生成是org.apache.shiro.web.session.mgt.DefaultSessionManager类的create方法;

cookie的生成是在org.apache.shiro.web.session.mgt.DefaultSessionManager类的storeSessionId方法;

shiro的seesionId默认使用的是UUID.randomUUID()方法;

shiro会在认证失败(会先获取当前session,并判断是否已认证)的拦截器的onAccessDenied()方法中调用saveRequestAndRedirectToLogin(...).保存当前请求到新session.并且跳转到cas登录页

-------------------------------------------下面是logoutFilter的实现逻辑----------------------------------

   /**
     * 拦截所有请求
     * --如果请求中包含了ticket参数(成功登陆cas后,cas server会自动跳转到cas client并在url中带上ticket),
     *   记录ticket和sessionID的映射
     *
     * --如果请求中包含logoutRequest参数(说明是cas logout, cas server回调ticket相同的所有cas client),
     *   标记session为无效 如果session不为空,且被标记为无效,则登出
     *
     * @param request  the incoming ServletRequest
     * @param response the outgoing ServletResponse
     * @return 是logoutRequest请求返回false,否则返回true
     * @throws Exception if there is any error.
     */
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception {
        HttpServletRequest req = (HttpServletRequest) request;
        if (handler.isTokenRequest(req)) {
            // 是否是登陆成功的回调。请求链接中含有ticket参数,记录ticket和sessionID
            handler.recordSession(req);
            return true;
        } else if (handler.isLogoutRequest(req)) {
            // cas服务器发送的请求,链接中含有logoutRequest参数,在之前记录的session中设置logoutRequest属性为true
            // 因为Subject是和线程是绑定的,所以无法获取登录的Subject直接logout
            handler.invalidateSession(req);
            // Do not continue up filter chain
            return false;
        } else {
            logger.trace("Ignoring URI " + req.getRequestURI());
        }
        Subject subject = SecurityUtils.getSubject();
        Session session = subject.getSession(false);
        if (session != null && session.getAttribute(handler.getLogoutParameterName()) != null) {
            //如果session存在,且属性中有logoutRequest值,则登出
            try {
                subject.logout();
            } catch (SessionException ise) {
                logger.debug("Encountered session exception during logout.  This can generally safely be ignored.",
                        ise);
            }
        }
        return true;
    }

 

转载于:https://my.oschina.net/u/782865/blog/802982

weixin_33800463
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
登录cas常见问题(三) - 时,子系统是否同步
will的成长之路
02-18 8741
答案是:子系统会同步。 可以跟踪源码(这里cas版本是4.x) 调用流程如下: terminateSessionAction.terminate(flowRequestContext)     centralAuthenticationService.destroyTicketGrantingTicket(tgtId)     实现类CentralAuthentication
CAS SSO 无法的一种原因
weixin_33871366的博客
03-13 2724
CAS SSO 无法的一种原因 背景 1 我们公司基于CAS SSO 4.x 二次开发了公司内部的SSO服务。2 SSO上线后发生了一个很奇怪的问题:受SSO保护的应用无法使用SSO按钮,关闭浏览器均不能。但是在本地开发测试的时候部分应用能够,部分不能。3 我司内部的生产网络部署拓补图以及测试服务器拓补图如...
CAS4.2.7 登录一个app1 了,点击App 2还是要登录,法无缝登录(即客户端cookie无法共享)问题
zh_Json的专栏
10-26 711
由于我本地测试怕麻烦,所以使用的是http协议,但是这样其实会导致sso 失败,因为cas  sso 是基于https安全链接的 解决办法: 在cas.properties中有 # Decides whether SSO cookie should be created only under secure connections. # tgc.secure=true 意思是 sso co...
登录
热门推荐
qq_33200676的博客
10-09 1万+
一、标准流程描述 CAS官网的标准流程: SSO标准流程 流程描述: First Access: 第3步数据走向第4步数据走向第一次访问app.example.com(service地址),请求参数中session为空,app service做过权限认证,所以重定向到CAS认证服务(cas.example.com/cas/login),经过URL编码的service地址作为参数一同...
CAS不能自动登录业务系统
iteye_47的博客
03-09 214
最近学习一个集成软件CAS,我按照网上的方法,成功部署好了服务器端,客户端也能跟服务器端通信,但是问题在: 当我输入业务系统访问URL时,跳转到认证界面,然后输入用户名密码后,认证通过,问题现了,认证通过后依然跳转到业务系统的登录页面,而不是业务系统成功登录后的页面,不知道为什么,是否需要我自己将认证后后的用户名密码传入业务系统,还是我哪个地方配置错误呢? 客户端配置: 编辑应用系统以及...
spring security 集成 cas陆 之 【后无法陆的问题】
技术管理修行
06-30 1426
1、问题描述:用户输入用户名/密码 进行陆,然后点击退操作回到陆页面再次进行陆,陆页会闪现一次并有任何提示,这种问题现的概率不确定,且不定时。 2、cas服务器的后台日志如下:2017-06-30 10:53:21,567 INFO [com.github.inspektr.audit.support.Slf4jLoggingAuditTrailManager] - <Audit t
spring boot 1.5.4 集成shiro+cas,实现登录和权限控制
08-30
"spring boot 1.5.4 集成shiro+cas实现登录和权限控制" Spring Boot 1.5.4 集成 Shiro+Cas 实现登录和权限控制是指在 Spring Boot 应用程序中使用 Shiro 框架和 Cas 服务器来实现登录和权限控制的功能...
登录sso-shiro-cas-maven
10-19
spring下使用shiro+cas配置登录,多个系统之间的访问,每次只需要登录一次 ## 系统模块说明 1. cas登录模块,这里直接拿的是cas的项目改了点样式而已 2. doc: 文档目录,里面有数据库生成语句,采用的...
shiro+cas实现登录 示例代码,送源码分析url
10-20
shiro+cas实现登录 示例代码,送源码分析url:http://note.youdao.com/noteshare?id=a83380ee8fc6913162042e865689844e&sub=CD905CCCE4134A159326DC2DFC1AF268
shiro实现登录(一个用户同一时刻只能在一个地方登录)
09-01
在本文中,我们将深入探讨如何使用 Shiro 实现登录(Single Sign-On, SSO),确保一个用户在同一时刻只能在一个地方登录登录是一种常见的安全机制,它允许用户在一次登录后访问多个相互关联的应用系统,...
cas实现登录,(java和php客户端)
05-29
NULL 博文链接:https://zxs19861202.iteye.com/blog/855856
cas-shiro-https登录实现
04-30
登录(Single Sign-On,简称SSO)是一种在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的技术。在这个场景中,我们关注的是`cas-shiro-https`的实现,它结合了CAS(Central ...
php cas不能,CAS 4.1.x (退登录)的原理解析
weixin_29039773的博客
03-22 904
我们在项目中使用了cas作为登录的解决方案,当在集成shiro做统一权限控制的时候,发现点退登录有坑,所以啃了一下CAS的源码,在此分享一下。1、回顾登录中一些关键事件在解析CAS的原理之前,我们先回顾一下在登录过程中,CAS服务器和CAS客户端都做了一些什么事,这些事在后面解析时有助于理解。一般情况下,在项目中使用cas client提供的几个过滤器实现...
CAS逻辑详解
m0_47495420的博客
11-18 2995
功能跟登录功能是相对应的,旨在通过Cas Server的使所有的Cas ClientCas Server的是通过请求“/logout”发生的,即如果你的Cas...
cas client 4.0 整合 shiro
sgq0085的专栏
04-08 494
  概念或其它内容可以参考我一系列的博客相关文章 http://sgq0085.iteye.com/category/302777   1.Maven主要依赖   &lt;dependency&gt; &lt;groupId&gt;org.jasig.cas.client&lt;/groupId&gt; &lt;artifactId&gt;cas-client-c...
客户端html跳到cas页面,CAS客户端报错,页面一直停留在CAS服务端陆页面,不会转跳转到CAS客户端陆顺利后的首面...
weixin_34921054的博客
06-03 872
当前位置:我的异常网» Java Web开发»CAS客户端报错,页面一直停留在CAS服务端陆页面,CAS客户端报错,页面一直停留在CAS服务端陆页面,不会转跳转到CAS客户端陆顺利后的首面www.myexceptions.net网友分享于:2013-09-19浏览:148次CAS客户端报错,页面一直停留在CAS服务端陆页面,不会转跳转到CAS客户端陆成功后的首面?CAS服务端...
开发环境下CASbug解决/ 及版本更新bug解决
yangwenjianywj的专栏
05-20 931
博主最近使用CAS登录 , 测试demo中, 碰到如下问题, 解决过程曲折, 现分享如下: 问题一:CAS功能 bug 描述: 问题描述: 开发环境下, idea中tomcat插件运行CASClient_1和Client_2两个项目,将CAS Server部署在Linux系统上的tomcat中: 1. 当访问Client_1时...
多个cas客户端调用关系详解
qq_36956015的博客
11-22 562
多个cas客户端调用关系详解
CAS,调整CAS源码,实现前后端分离、清除redis、shiro登录状态
左疼右疼的专栏
05-27 2299
,调整CAS源码,实现清除redis、shiro登录状态。
java手写一个登录
最新发布
04-27
登录(Single Sign-On,简称SSO)是一种身份验证和授权机制,允许用户使用一组凭据(如用户名和密码)登录到多个相关但独立的应用程序或系统中,而无需为每个应用程序独进行身份验证。 在Java中,可以通过使用一些开源框架和技术来实现登录。以下是一个简的示例,展示了如何手动实现基于Cookie的登录: 1. 创建一个登录页面(login.jsp),用于用户输入用户名和密码。 2. 创建一个验证用户的Servlet(LoginServlet),用于验证用户输入的用户名和密码是否正确。 3. 如果验证成功,生成一个唯一的令牌(token)并将其存储在服务器端的缓存或数据库中,并将该令牌作为Cookie发送给客户端。 4. 在其他应用程序中,创建一个过滤器(SSOFilter),用于检查请求中是否存在有效的令牌。 5. 当用户访问其他应用程序时,过滤器会检查请求中的令牌,并验证其有效性。如果令牌有效,则允许用户访问该应用程序;否则,重定向到登录页面进行身份验证。 6. 当用户注销或超时时,删除服务器端存储的令牌,并清除客户端的Cookie。 这只是一个简的示例,实际的登录系统可能涉及更复杂的流程和安全性措施。在实际开发中,建议使用成熟的登录框架,如Spring Security、Shiro等,它们提供了更完善和安全的解决方案。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值