cas单点登录集群如何优雅的退出

最新推荐文章于 2024-04-17 00:43:18 发布
最新推荐文章于 2024-04-17 00:43:18 发布
阅读量410 收藏
点赞数
文章标签: 数据库 运维 java
原文链接:https://my.oschina.net/heinrichchen/blog/715071
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

实现cas ticket基于redis的集群

目的

克服cas单点故障,将cas认证请求分发到多台cas服务器上,降低负载。 实现思路:

采用统一的ticket存取策略,所有ticket的操作都从中央缓存redis中存取。 采用session共享,session的存取都从中央缓存redis中存取。 前提:

这里只讲解如何实现cas ticket的共享,关于session的共享请移步: https://github.com/izerui/tomcat-redis-session-manager 实现步骤:

基于cas源码 新增模块 cas-server-integration-redis

pom.xml 文件如下:

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <parent> <artifactId>cas-server</artifactId> <groupId>org.jasig.cas</groupId> <version>4.0.2</version> </parent> <modelVersion>4.0.0</modelVersion>

<artifactId>cas-server-integration-redis</artifactId>

<dependencies>

    <dependency>
        <groupId>org.jasig.cas</groupId>
        <artifactId>cas-server-core</artifactId>
        <version>${project.version}</version>
    </dependency>

    <dependency>
        <groupId>org.jasig.cas</groupId>
        <artifactId>cas-server-support-saml</artifactId>
        <version>${project.version}</version>
        <scope>provided</scope>
    </dependency>


    <!-- redis -->
    <dependency>
        <groupId>org.springframework.data</groupId>
        <artifactId>spring-data-redis</artifactId>
        <version>1.5.1.RELEASE</version>
    </dependency>
    <dependency>
        <groupId>org.apache.commons</groupId>
        <artifactId>commons-pool2</artifactId>
        <version>2.2</version>
    </dependency>
    <dependency>
        <groupId>redis.clients</groupId>
        <artifactId>jedis</artifactId>
        <version>2.6.2</version>
    </dependency>
</dependencies>

</project> 添加类到 cas-server-integration-redis 模块的 org.jasig.cas.ticket.registry 包下

RedisTicketRegistry.java

/*

  • Licensed to Jasig under one or more contributor license
  • agreements. See the NOTICE file distributed with this work
  • for additional information regarding copyright ownership.
  • Jasig licenses this file to you under the Apache License,
  • Version 2.0 (the "License"); you may not use this file
  • except in compliance with the License. You may obtain a
  • copy of the License at the following location:
  • http://www.apache.org/licenses/LICENSE-2.0
  • Unless required by applicable law or agreed to in writing,
  • software distributed under the License is distributed on an
  • "AS IS" BASIS, WITHOUT WARRANTIES OR CONDITIONS OF ANY
  • KIND, either express or implied. See the License for the
  • specific language governing permissions and limitations
  • under the License. */ package org.jasig.cas.ticket.registry;

import org.jasig.cas.ticket.ServiceTicket; import org.jasig.cas.ticket.Ticket; import org.jasig.cas.ticket.TicketGrantingTicket; import org.springframework.beans.factory.DisposableBean;

import javax.validation.constraints.Min; import javax.validation.constraints.NotNull; import java.util.Collection; import java.util.HashSet; import java.util.Set; import java.util.concurrent.TimeUnit;

/**

  • Key-value ticket registry implementation that stores tickets in redis keyed on the ticket ID.

  • [@author](http://my.oschina.net/arthor) Scott Battaglia

  • [@author](http://my.oschina.net/arthor) Marvin S. Addison

  • [@since](http://my.oschina.net/u/266547) 3.3 */ public final class RedisTicketRegistry extends AbstractDistributedTicketRegistry implements DisposableBean {

    private final static String TICKET_PREFIX = "TICKETGRANTINGTICKET:";

    /** redis client. */ [@NotNull](http://my.oschina.net/notnull) private final TicketRedisTemplate client;

    /**

    • TGT cache entry timeout in seconds. */ @Min(0) private final int tgtTimeout;

    /**

    • ST cache entry timeout in seconds. */ @Min(0) private final int stTimeout;

    /**

    • Creates a new instance using the given redis client instance, which is presumably configured via
    • <code>net.spy.redis.spring.redisClientFactoryBean</code>.
    • @param client redis client.
    • @param ticketGrantingTicketTimeOut TGT timeout in seconds.
    • @param serviceTicketTimeOut ST timeout in seconds. */ public RedisTicketRegistry(final TicketRedisTemplate client, final int ticketGrantingTicketTimeOut, final int serviceTicketTimeOut) { this.tgtTimeout = ticketGrantingTicketTimeOut; this.stTimeout = serviceTicketTimeOut; this.client = client; }

    protected void updateTicket(final Ticket ticket) { logger.debug("Updating ticket {}", ticket); try { this.client.boundValueOps(TICKET_PREFIX+ticket.getId()).set(ticket,getTimeout(ticket), TimeUnit.SECONDS); } catch (final Exception e) { logger.error("Failed updating {}", ticket, e); } }

    public void addTicket(final Ticket ticket) { logger.debug("Adding ticket {}", ticket); try { this.client.boundValueOps(TICKET_PREFIX+ticket.getId()).set(ticket,getTimeout(ticket),TimeUnit.SECONDS); }catch (final Exception e) { logger.error("Failed adding {}", ticket, e); } }

    public boolean deleteTicket(final String ticketId) { logger.debug("Deleting ticket {}", ticketId); try { this.client.delete(TICKET_PREFIX+ticketId); return true; } catch (final Exception e) { logger.error("Failed deleting {}", ticketId, e); } return false; }

    public Ticket getTicket(final String ticketId) { try { final Ticket t = (Ticket) this.client.boundValueOps(TICKET_PREFIX+ticketId).get(); if (t != null) { return getProxiedTicketInstance(t); } } catch (final Exception e) { logger.error("Failed fetching {} ", ticketId, e); } return null; }

    /**

    • {@inheritDoc}
    • This operation is not supported.
    • @throws UnsupportedOperationException if you try and call this operation. / @Override public Collection<Ticket> getTickets() { Set<Ticket> tickets = new HashSet<Ticket>(); Set<String> keys = this.client.keys(TICKET_PREFIX + ""); for (String key:keys){ Ticket ticket = this.client.boundValueOps(TICKET_PREFIX+key).get(); if(ticket==null){ this.client.delete(TICKET_PREFIX+key); }else{ tickets.add(ticket); } } return tickets; }

    public void destroy() throws Exception { //do nothing }

    /**

    • @param sync set to true, if updates to registry are to be synchronized
    • @deprecated As of version 3.5, this operation has no effect since async writes can cause registry consistency issues. */ @Deprecated public void setSynchronizeUpdatesToRegistry(final boolean sync) {}

    @Override protected boolean needsCallback() { return true; }

    private int getTimeout(final Ticket t) { if (t instanceof TicketGrantingTicket) { return this.tgtTimeout; } else if (t instanceof ServiceTicket) { return this.stTimeout; } throw new IllegalArgumentException("Invalid ticket type"); } } TicketRedisTemplate.java

package org.jasig.cas.ticket.registry;

import org.jasig.cas.ticket.Ticket; import org.springframework.data.redis.connection.RedisConnectionFactory; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.data.redis.serializer.JdkSerializationRedisSerializer; import org.springframework.data.redis.serializer.RedisSerializer; import org.springframework.data.redis.serializer.StringRedisSerializer;

/**

  • Created by serv on 2015/7/19. */ public class TicketRedisTemplate extends RedisTemplate<String, Ticket> {

    public TicketRedisTemplate() { RedisSerializer<String> string = new StringRedisSerializer(); JdkSerializationRedisSerializer jdk = new JdkSerializationRedisSerializer(); setKeySerializer(string); setValueSerializer(jdk); setHashKeySerializer(string); setHashValueSerializer(jdk); }

    public TicketRedisTemplate(RedisConnectionFactory connectionFactory) { this(); setConnectionFactory(connectionFactory); afterPropertiesSet(); } } cas-server-webapp 添加刚才新增模块的依赖

<dependency> <groupId>org.jasig.cas</groupId> <artifactId>cas-server-integration-redis</artifactId> <version>${project.version}</version> </dependency> 修改 spring配置文件 cas-server-webapp 模块 WEB-INF\spring-configuration\ticketRegistry.xml

<bean id="ticketRegistry" class="org.jasig.cas.ticket.registry.DefaultTicketRegistry" /> 替换为

<bean id="ticketRegistry" class="org.jasig.cas.ticket.registry.RedisTicketRegistry"> <constructor-arg index="0" ref="redisTemplate" />

<!-- TGT timeout in seconds -->
<constructor-arg index="1" value="1800" />

<!-- ST timeout in seconds -->
<constructor-arg index="2" value="300" />

</bean>

<bean id="jedisConnFactory" class="org.springframework.data.redis.connection.jedis.JedisConnectionFactory" p:hostName="192.168.1.89" p:database="0" p:usePool="true"/>

<bean id="redisTemplate" class="org.jasig.cas.ticket.registry.TicketRedisTemplate" p:connectionFactory-ref="jedisConnFactory"/> 注意: 里面的 jedisConnFactory链接信息 修改为自己的连接串,这里选择database 1为存放cas票据的数据库

重新编译 mvn install

生成的cas.war 部署到多个已经做过session共享的tomcat容器中。

tomcat-redis-session-manager

使用redis配置tomcat共享session 结构图:

分析:

分布式web server集群部署后需要实现session共享,针对 tomcat 服务器的实现方案多种多样, 比如 tomcat cluster session 广播、nginx IP hash策略、nginx sticky module等方案, 本文主要介绍了使用 redis 服务器进行 session 统一存储管理的共享方案。 必要环境:

java1.7 tomcat7 redis2.8 nginx 负载均衡配置

修改nginx conf配置文件加入

upstream tomcat { server 200.10.10.67:8110; server 200.10.10.67:8120; server 200.10.10.44:8110; server 200.10.10.66:8110; } 配置 相应的server或者 location地址到 http://tomcat

tomcat session共享配置步骤

添加redis session集群依赖的jar包到 TOMCAT_BASE/lib 目录下

tomcat-redis-session-manager-2.0.0.jar jedis-2.5.2.jar commons-pool2-2.2.jar 修改 TOMCAT_BASE/conf 目录下的 context.xml 文件

<Valve className="com.orangefunction.tomcat.redissessions.RedisSessionHandlerValve" />
<Manager className="com.orangefunction.tomcat.redissessions.RedisSessionManager"
 host="localhost"
 port="6379"
 database="0"
 maxInactiveInterval="60"
 sessionPersistPolicies="PERSIST_POLICY_1,PERSIST_POLICY_2,.."
 sentinelMaster="SentinelMasterName"
 sentinels="sentinel-host-1:port,sentinel-host-2:port,.."/>

属性解释:

host redis服务器地址 port redis服务器的端口号 database 要使用的redis数据库索引 maxInactiveInterval session最大空闲超时时间,如果不填则使用tomcat的超时时长,一般tomcat默认为1800 即半个小时 sessionPersistPolicies session保存策略,除了默认的策略还可以选择的策略有:

[SAVE_ON_CHANGE]:每次 session.setAttribute() 、 session.removeAttribute() 触发都会保存. 注意:此功能无法检测已经存在redis的特定属性的变化, 权衡:这种策略会略微降低会话的性能,任何改变都会保存到redis中.

注意:对于更改一个已经存储在redis中的会话属性,该选项特别有用. 权衡:如果不是所有的request请求都要求改变会话属性的话不推荐使用,因为会增加并发竞争的情况。 sentinelMaster redis集群主节点名称(Redis集群是以分片(Sharding)加主从的方式搭建,满足可扩展性的要求) sentinels redis集群列表配置(类似zookeeper,通过多个Sentinel来提高系统的可用性) connectionPoolMaxTotal connectionPoolMaxIdle jedis最大能够保持idel状态的连接数 connectionPoolMinIdle 与connectionPoolMaxIdle相反 maxWaitMillis jedis池没有对象返回时,最大等待时间 minEvictableIdleTimeMillis softMinEvictableIdleTimeMillis numTestsPerEvictionRun testOnCreate testOnBorrow jedis调用borrowObject方法时,是否进行有效检查 testOnReturn jedis调用returnObject方法时,是否进行有效检查 testWhileIdle timeBetweenEvictionRunsMillis evictionPolicyClassName blockWhenExhausted jmxEnabled jmxNameBase jmxNamePrefix * **** 重启tomcat,session存储即可生效

转载于:https://my.oschina.net/heinrichchen/blog/715071

weixin_34112208
关注
CAS5.2 CAS Client集群环境单点退出异常
GuanHao的博客
07-05 815
首先,这是一个已知的bug。 cas-client通过org.jasig.cas.client.session.SingleSignOutFilter来实现单点退出。 看看这个主要的类,这里只摘出我们关注的部分。 public final class SingleSignOutHandler { /** Mapping of token IDs and session IDs to HTT...
单点登录SSO与CAS
weixin_43869318的博客
07-28 552
什么是单点登录单点登录的英文名叫做:Single Sign On(简称SSO)。 在以前的时候,一般就是单系统,所有的功能都在同一个系统上。 后来,我们为了合理利用资源和降低耦合性,于是把单系统拆分成多个子系统。 回顾:分布式基础知识 比如阿里系的淘宝和天猫,很明显这是两个系统,但是你在使用的时候,登录了天猫,淘宝也会自动登录。 简单来说,单点登录就是在多个系统中,用户只需一次登录,各个系统即...
cas实现单点登录,登出(java和php客户端)
05-29
NULL 博文链接:https://zxs19861202.iteye.com/blog/855856
CAS单点登录退出
02-01 6185
    最近自己做的一个项目用了CAS单点登录,弄了好几天终于把登录与退出配置成功,下面记录的是我的配置过程。     CAS官网地址:http://www.jasig.org/cas    CAS服务端下载地址:http://www.ja-sig.org/downloads/cas/    CAS客户端下载地址:http://www.ja-sig.org/downloads/c
CAS单点登录(十一)——单点退出
热门推荐
Anumbrella
04-07 1万+
在前面我们讲解了CAS单点登录客户端接入,对于CAS的登录有了更清楚的了解,今天我们讲解一下在CAS中的单点退出问题。 首先我们要明白单点退出(单点注销)与注销的区别: 其实官方文档也给我们详细的解释了: 注销: 1. 应用程序注销 - 结束单个应用程序会话 2. CAS注销 - 结束CAS SSO会话 请注意,在简单的情况下,每种情况下的注销操作对另一种情况都没有影响。 而单点注销(SL...
单点登录和单点退出
小汁的博客
02-24 617
单点登录和单点退出
spring security+cas 单点登录示例(单点退出
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
04-21 3026
版本说明 6.0及以上需要jdk11,如果你是jdk8,最高只能用5.3版本 5.3以下版本的是maven工程,6.0以上改成gradle工程了 这里基于5.3版本搭建 原理 服务端搭建 下载源码 https://github.com/apereo/cas-overlay-template/tree/5.3 下载官方的cas-overlay-template,在此基础上修改打包,运行。 cas-overlay-template已经集成了springboot,可直接运行。 build之后会在target目录生
cas jwt 单点登录
Rika_Sir_Zhong的博客
05-08 1871
单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处。自从上次研究过JWT如何应用于会话管理,加之以前的项目中也一直在使用CAS这个比较流行的单点登录框架,所以就一直在琢磨如何能够把JWT跟单点登录结合起来一起使用,尽量能把两种技术的优势都集成到项目中来。本文介绍我从CAS思考得出的SSO的实现方案。 ** 前...
cas client集群单点登出解决方案总结
snoopy
07-07 7404
cas client提供了单点出功能SLO.但对于cas client 在集群环境下的单点登出的情况深入了解的甚少,因为默认情况下它不是很灵,也就是说有时能登出,有时登不出的情况。
CAS单点登录V5.3.x的安装与配置指南
CAS单点登录概述 ### 1.1 CAS单点登录简介 CAS(Central Authentication Service)是一种基于Web的单点登录系统,它提供了一种简单且可靠的方法来实现用户在多个应用程序中的身份认证和授权管理。CAS单点登录通过...
CAS单点登录,退出后ticket失效报出异常解决办法—换jar包
05-18
CAS单点登录,退出后ticket失效报出异常解决办法——换jar包 把客户端的 casclient.jar 包换成我的这个。
CAS(五)CAS客户端单点退出实现
Oumuv的博客
11-21 1万+
环境要求 JDK 8+ CAS 5.2 tomcat 8+ 步骤 一、搭建CAS服务器 -->CAS(一)搭建CAS - server服务器 修改application.properties加入如下配置,该配置的作用是允许退出登录后重定向到其他页面 cas.logout.followServiceRedirects=true 二、搭建两个CAS客户端 这里就直接使用...
cas单点退出
你若幸福,便是晴天
02-27 2772
登陆CAS后,点击退出(http://localhost:8080/cas/logout),并不能真正的执行退出,在返回业务页面还是可以操作,并没有完全退出。 正确退出方法:https://localhost:8443/cas/logout正确执行退出! 具体原因就不说明了,大家可以跟踪源码得到。
CAS退出问题
海浪博客|技术|游戏|生活|随心
08-20 3067
CAS 3.5.2.1 版本 退出的解决方法: 1.将
CAS 登出方案
atarik@163.com
03-08 435
添加配置cas.logout.followServiceRedirects:true,使支持 CAS 退出时支持输入 service 参数为跳转路径。1) 直接在客户端调用http请求/cas/logout去注销不能携带cookie信息, 无法完成注销。2)cas登录登出ip保持一致,使用localhost或127.0.0.1应统一。
CAS退出页自定义实现
ASDFGQC的博客
01-16 545
首先再最外部配置文件中加入如下配置#配置允许登出后跳转到指定页面cas . logout . followServiceRedirects = true #跳转到指定页面需要的参数名为 service#在退出时是否需要 确认一下 true 确认 false 直接退出cas . logout . confirmLogout = true #是否移除子系统的票据然后重写这个页面同名逻辑为自己的逻辑即可具体结果如下所示。
cas退出流程设置解析之spring webflow的应用,BAT等大厂必问技术面试题
最新发布
m0_60732644的博客
04-17 1074
我们知道cas的登录、登出流程是分别通过:login-webflow.xml、logout-webflow.xml定义的。大前端和全栈是以后前端的一个趋势,懂后端的前端,懂各端的前端更加具有竞争力,以后可以往这个方向靠拢。这边整理了一个对标“阿里 50W”年薪企业高级前端工程师成长路线,由于图片太大仅展示一小部分。一般情况下我们有时候无法一下子找到相关业务的源码入口位置,我们可以。cas登出流程定义使用的技术栈为Spring webflow ,这里分析源码的时候,我们是按照倒序阅读法来看的。
cas退出流程设置解析之spring webflow的应用,2024年最新字节跳动视屏面试
2401_83944328的博客
04-09 863
子涵先生顺便和大家扯一点源码阅读中的一些心得~一般情况下我们有时候无法一下子找到相关业务的源码入口位置,我们可以1、我们可以先定位到关键代码后使用倒序方式阅读。2、然后通过正序配置的方式通读源码原理和并深入理解其执行流程。这里分析源码的时候,我们是按照倒序阅读法来看的。检查cas管理的service范围,成功时支持重定向重定向事件执行,post请求时返回post结果是负责服务检测的一个bean,由Spring负责管理。查看源码:@NotNull/***/@Override。
Cas集群cas client登出问题方案
qq_36956015的博客
06-11 719
https://www.cnblogs.com/jason123/p/8618624.html
CAS单点登录配置全攻略
"本文将指导你如何配置CAS(Central Authentication Service)单点登录系统,包括自定义数据库认证、获取登录用户名、单点退出、站点间信任关系建立、默认页面修改以及超时设置。此外,还提供了CAS实用网址供参考。" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值