CAS 单点登出失效的问题(源码跟踪)

最新推荐文章于 2022-12-29 18:02:42 发布
最新推荐文章于 2022-12-29 18:02:42 发布
阅读量819 收藏 1
点赞数 1
文章标签: java 测试 数据库
原文链接:http://www.cnblogs.com/let5see/p/4078350.html
版权

一、环境说明

服务端:cas-server-3.5.2

客户端:cas-client-3.2.1+spring mvc

说明:服务端与客户端均是走的Https

客户端配置文件:

applicationContext-cas.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:p="http://www.springframework.org/schema/p" xmlns:context="http://www.springframework.org/schema/context" xmlns:tx="http://www.springframework.org/schema/tx"
    xmlns:sec="http://www.springframework.org/schema/security"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.2.xsd
       http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.2.xsd
       http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.2.xsd
       http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.2.xsd">
    <!-- 读取配置文件 -->
    <context:property-placeholder location="classpath*:cas.properties" ignore-unresolvable="true" />

    <bean name="singleSignOutFilter" class="org.jasig.cas.client.session.SingleSignOutFilter" />

    <bean name="authenticationFilter" class="org.jasig.cas.client.authentication.AuthenticationFilter" p:renew="false"
        p:gateway="false" p:casServerLoginUrl="${cas.server.login.url}" p:serverName="${server.name}" />

    <bean name="ticketValidationFilter" class="org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter"
        p:redirectAfterValidation="true" p:serverName="${server.name}">
        <property name="ticketValidator">
            <bean class="org.jasig.cas.client.validation.Cas20ServiceTicketValidator">
                <constructor-arg index="0" value="${cas.server.url}" />
            </bean>
        </property>
    </bean>

    <bean name="httpServletRequestWrapperFilter" class="org.jasig.cas.client.util.HttpServletRequestWrapperFilter" />

    <bean name="assertionThreadLocalFilter" class="org.jasig.cas.client.util.AssertionThreadLocalFilter" />

</beans>

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
    metadata-complete="true">
    <display-name>Archetype Created Web Application</display-name>

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            classpath*:/applicationContext-cas.xml
        </param-value>
    </context-param>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <!-- https://wiki.jasig.org/display/CASC/Configuring+Single+Sign+Out -->
    <!-- 用于单点退出,该过滤器用于实现单点登出功能,可选配置 The SingleSignOutFilter can affect character 
        encoding. -->
    <listener>
        <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
    </listener>

    <!-- Filter 定义 -->
    <!-- Character Encoding filter -->
    <filter>
        <filter-name>encodingFilter</filter-name>
        <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>UTF-8</param-value>
        </init-param>
        <init-param>
            <param-name>forceEncoding</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>encodingFilter</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
        <dispatcher>FORWARD</dispatcher>
    </filter-mapping>
    
    <!-- Spring mvc -->
    <servlet>
        <servlet-name>springServlet</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextConfigLocation</param-name>
            <param-value>/WEB-INF/spring-mvc.xml</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>springServlet</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>cas oss info</servlet-name>
        <servlet-class>com.gqshao.cas.servlet.InfoServlet</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>cas oss info</servlet-name>
        <url-pattern>/info</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>cas oss logout</servlet-name>
        <servlet-class>com.gqshao.cas.servlet.LogoutServlet</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>cas oss logout</servlet-name>
        <url-pattern>/logout</url-pattern>
    </servlet-mapping>

    <!--1.用于单点退出 -->
    <filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>singleSignOutFilter</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!--2.负责Ticket校验 -->
    <filter>
        <filter-name>CAS Validation Filter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>ticketValidationFilter</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Validation Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!-- 3. 单点登录验证 -->
    <filter>
        <filter-name>CAS Authentication Filter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>authenticationFilter</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Authentication Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!--4. CAS HttpServletRequest Wrapper Filter 这个是HttpServletRequet的包裹类,让他支持getUserPrincipal,getRemoteUser方法来取得用户信息 -->
    <filter>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>httpServletRequestWrapperFilter</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!--5. CAS Assertion Thread Local Filter 这个类把Assertion信息放在ThreadLocal变量中,这样应用程序不在web层也能够获取到当前登录信息 -->
    <filter>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
        <init-param>
            <param-name>targetBeanName</param-name>
            <param-value>assertionThreadLocalFilter</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

二、问题描述

服务端与客户端的部署从网上找了很多资料,总算是部署好了,数据库中查询用户、单点登录都没有问题,在测试单点登出时发现总是不能进入CAS客户端单点登录的方法,

执行单点登出后 通过跟踪源码发现

 SingleSignOutFilter.java类dofilter方法中以下代码块始终不能进入

        if (handler.isTokenRequest(request)) {
            handler.recordSession(request);
        } else if (handler.isLogoutRequest(request)) {
            handler.destroySession(request);
            // Do not continue up filter chain
            return;
        } else {
            log.trace("Ignoring URI " + request.getRequestURI());
        }

        filterChain.doFilter(servletRequest, servletResponse);

于是排查服务端相关代码

服务端登出逻辑主要是通过 LogoutController.java 类handleRequestInternal 方法中的代码段

        if (ticketGrantingTicketId != null) {
            this.centralAuthenticationService
                .destroyTicketGrantingTicket(ticketGrantingTicketId);

            this.ticketGrantingTicketCookieGenerator.removeCookie(response);
            this.warnCookieGenerator.removeCookie(response);
        }

其中

centralAuthenticationService
                .destroyTicketGrantingTicket(ticketGrantingTicketId);

负责销毁TGT,通过调用 ————————>CentralAuthenticationServiceImpl.java类中的destroyTicketGrantingTicket方法————————>  ticket.expire();
见:

        Assert.notNull(ticketGrantingTicketId);

        if (log.isDebugEnabled()) {
            log.debug("Removing ticket [" + ticketGrantingTicketId + "] from registry.");
        }
        final TicketGrantingTicket ticket = (TicketGrantingTicket) this.ticketRegistry.getTicket(ticketGrantingTicketId, TicketGrantingTicket.class);

        if (ticket == null) {
            return;
        }

        if (log.isDebugEnabled()) {
            log.debug("Ticket found.  Expiring and then deleting.");
        }
        ticket.expire();
        this.ticketRegistry.deleteTicket(ticketGrantingTicketId);

——————>调用

AbstractWebApplicationService.java类中的 logOutOfService方法,
------------------主脚出现了
        if (this.httpClient != null) {
            return this.httpClient.sendMessageToEndPoint(getOriginalUrl(), logoutRequest, true);
        }

该处通过基于

HttpURLConnection

实现的HttpClient.java类向客户端发送数据,HttpClient中主要代码

        public Boolean call() throws Exception {
            HttpURLConnection connection = null;
            BufferedReader in = null;
            try {
                if (log.isDebugEnabled()) {
                    log.debug("Attempting to access " + url);
                }
                final URL logoutUrl = new URL(url);
                final String output = "logoutRequest=" + URLEncoder.encode(message, "UTF-8");

                connection = (HttpURLConnection) logoutUrl.openConnection();
                connection.setDoInput(true);
                connection.setDoOutput(true);
                connection.setRequestMethod("POST");
                connection.setReadTimeout(this.readTimeout);
                connection.setConnectTimeout(this.connectionTimeout);
                connection.setInstanceFollowRedirects(this.followRedirects);
                connection.setRequestProperty("Content-Length", Integer.toString(output.getBytes().length));
                connection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded");
                final DataOutputStream printout = new DataOutputStream(connection.getOutputStream());
                printout.writeBytes(output);
                printout.flush();
                printout.close();

                in = new BufferedReader(new InputStreamReader(connection.getInputStream()));

                while (in.readLine() != null) {
                    // nothing to do
                }

                if (log.isDebugEnabled()) {
                    log.debug("Finished sending message to" + url);
                }
                return true;
            } catch (final SocketTimeoutException e) {
                log.warn("Socket Timeout Detected while attempting to send message to [" + url + "].");
                return false;
            } catch (final Exception e) {
                log.warn("Error Sending message to url endpoint [" + url + "].  Error is [" + e.getMessage() + "]");
                return false;
            } finally {
                if (in != null) {
                    try {
                        in.close();
                    } catch (final IOException e) {
                        // can't do anything
                    }
                }
                if (connection != null) {
                    connection.disconnect();
                }
            }
        }

 

并未针对启用SSL的客户端进行处理,故始终无法向客户端发送消息,为了方便起见,直接对源码进行修改来支持SSL的客户端

修改的部分

if(url.startsWith("https:"))
                {
                    TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
                        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                            return null;
                        }

                        public void checkClientTrusted(
                                java.security.cert.X509Certificate[] certs, String authType) {
                        }

                        public void checkServerTrusted(
                                java.security.cert.X509Certificate[] certs, String authType) {
                        }
                    } };
                    httpsconnection = (HttpsURLConnection) logoutUrl.openConnection();
                    httpsconnection.setDefaultHostnameVerifier(new NullHostNameVerifier());
                    SSLContext sc = SSLContext.getInstance("SSL");
                    sc.init(null, trustAllCerts, new java.security.SecureRandom());
                    httpsconnection
                            .setDefaultSSLSocketFactory(sc.getSocketFactory());
                    httpsconnection.setDoInput(true);
                    httpsconnection.setDoOutput(true);
                    httpsconnection.setRequestMethod("POST");
                    httpsconnection.setReadTimeout(this.readTimeout);
                    httpsconnection.setConnectTimeout(this.connectionTimeout);
                    httpsconnection.setInstanceFollowRedirects(this.followRedirects);
                    httpsconnection.setRequestProperty("Content-Length", Integer.toString(output.getBytes().length));
                    httpsconnection.setRequestProperty("Content-Type", "application/x-www-form-urlencoded");
                    final DataOutputStream printout = new DataOutputStream(httpsconnection.getOutputStream());
                    printout.writeBytes(output);
                    printout.flush();
                    printout.close();

                    in = new BufferedReader(new InputStreamReader(httpsconnection.getInputStream()));

                    while (in.readLine() != null) {
                        // nothing to do
                    }
                }
View Code

至此,解决了当下遇到的问题

整个过程走了不少弯路,能读懂源码,能正确通过DEBUG排除问题真的是一项需要持续锻炼的技能

在此mark一下

 

文中源码阅读部分感谢作者eg366

http://blog.csdn.net/eg366/article/details/14054949

 











 

转载于:https://www.cnblogs.com/let5see/p/4078350.html

weixin_34410662
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CAS单点登录,退出后ticket失效报出异常解决办法—换jar包
05-18
CAS单点登录,退出后ticket失效报出异常解决办法——换jar包 把客户端的 casclient.jar 包换成我的这个。
cas单点登录退出失效解决方法
qq_34332207的博客
11-17 7508
在本地集成cas单点登录,原先使用3.5版本,全部跑通,后来看了cas官网发现现在已经有了6.0版本了,3.5版本太老了,于是下了5.2.0版本,结果发现配置等差距太大了,一点点的摸索,登录搞定了,退出始终不行,调用cas的logout虽然页面调到了注销页面,但是系统实际上没有注销,还是处于登录页,这个问题纠结了我两天时间没解决,最后看了cas源码,发现退出的时候cas在获取所有已经登录的客户端的...
cas client 更新ticket_cas sso单点登录系列6_cas单点登录防止登出退出后刷新后退ticket失效报500错...
weixin_39634508的博客
12-22 353
转(http://blog.csdn.net/ae6623/article/details/9494601)问题: 我登录了client2,又登录了client3,现在我把client2退出了,在client3里面我F5刷新了一下,结果页面报错:未能够识别出目标 'ST-41-2VcnVMguCDWJX5zHaaaD-cas01.example.org'票根type Exception repor...
基于CAS集群的单点失效问题解决方案
11-02
基于CAS集群的单点失效问题解决方案,图书馆下载的论文,希望对大家有用。
开发环境下CAS单点登出bug解决/ 及版本更新bug解决
yangwenjianywj的专栏
05-20 941
博主最近使用CAS单点登录 , 测试demo中, 碰到如下问题, 解决过程曲折, 现分享如下: 问题一:CAS单点登出功能 bug 描述: 问题描述: 开发环境下, idea中tomcat插件运行CASClient_1和Client_2两个项目,将CAS Server部署在Linux系统上的tomcat中: 1. 当访问Client_1时...
cas单点登出的3个类
10-09
在描述中提到的“CAS单点登出问题及解决”,暗示了在实际操作中可能会遇到一些挑战,比如跨域问题登出通知不及时等,需要通过特定的技术手段来解决。在这个过程中,通常会涉及到以下三个关键类: 1. **Simple...
单点登录cas源码
02-26
CAS(Central Authentication Service)是单点登录的一种实现,它是一个开源的身份验证框架,主要用于Web应用。本主题涉及的是CAS源码分析。 CAS的核心功能包括身份验证、服务票证(Ticket)管理和代理认证。当...
CAS单点登录demo.rar
最新发布
11-13
该演示项目将通过简单而清晰的代码示例,演示CAS单点登录的基本原理、配置步骤以及如何集成CAS客户端到你的应用中。 适用人群: 这个资源适用于具有一定Java编程和Web开发经验的开发人员,特别是那些对单点登录和...
springboot集成CAS实现单点登录的示例代码
08-19
SpringBoot集成CAS实现单点登录是一项常见的企业级应用技术,旨在提供用户一次登录即可访问多个系统的便捷体验。CAS(Central Authentication Service)是一个开源的身份验证框架,它允许用户在一个集中的服务器上...
单点登录-cas学习项目源码
11-15
在这个"单点登录-cas学习项目源码"中,我们可以深入理解CAS如何工作以及如何在实际项目中集成和配置。主要包含以下几个关键知识点: 1. CAS服务器配置:CAS服务器是整个SSO系统的中心,负责处理用户的登录请求和...
cas登陆成功跳转url指定失效 的一种原因
weixin_42996398的博客
02-22 6072
cas登陆成功跳转url参数client-host-url指定失效问题 问题场景: nginx 地址:http://localhost/ 端口80; tomcat 应用app1 地址http://localhost:8081/app1 spring boot \ cas 4.2.7 用户通过nginx反向代理访问 tomcat上部署的应用,应用配置了cas单点登录,第一次访问时应用直接302重定向...
关于cas-client单点登录客户端拦截请求和忽略/排除不需要拦截的请求URL的问题(不需要修改任何代码,只需要一个配置)...
weixin_30716141的博客
06-22 369
前言:今天在网上无意间看到cas单点登录排除请求的问题,发现很多人在讨论如何通过改写AuthenticationFilter类来实现忽略/排除请求URL的功能;突发奇想搜了一下,还真蛮多人都是这么干的,原谅我是个耿直的boy,当时我笑的饭都喷出来了,只需要一个配置的问题,被你们搞的这么麻烦;虽然很想回复他们“你们这帮人用别人的东西都不看源码的吗?”,转念一想,这也要怪作者不给力,文档里压根没有提到...
CAS-Client客户端研究--SingleSignOutFilter
待定的专栏
05-17 2472
<!-- 该过滤器用于实现单点登出功能,可选配置。 --> CAS Single Sign Out Filter org.jasig.cas.client.session.SingleSignOutFilter CAS Single Sign Out Filter /* SingleSignOutFilter ,主要是在有ticket参数的时候,将s
cas 5.2.0单点退出失效的解决方法
c_kkl213的博客
08-17 6964
我目前使用的cas的是5.2.0版本,此方法可能使用所有cas 5.X的版本。 单点退出的原理相信都知道了,cas服务端会向所有已经在cas服务端中已经注册的客户端发出销毁这些客户端的Session的请求。可是在使用过程中发现seesion并没有销毁,发出的单点退出请求并没有生效。客户端还是处于登录状态。开始解决的方案是先向客户端发出请求,客户端手动销毁seesion后再向cas服务端发送退出...
单点登录CAS-03:cas配置02-开启/status
小码哥的专栏
05-18 1867
单点登录CAS-03:cas配置02-开启/status1、前言2、开启/status/dashboard2.1找到相关的配置项参数2.1.1 Spring Boot Endpoints属性列表2.1.2 CAS Endpoints属性列表2.2 配置案例演示2.2.1 案例1:使用全局性配置2.2.2 案例1:验证2.2.3 案例2:明细配置版本2.2.4 案例2:验证2.2.3 案例3:明细配置版本-禁用某节点2.2.4 案例3:验证 1、前言 CAS官方推荐使用/status/dashboard来管理
配置CAS单点登录出现拒绝连接 [https] Error M essage: 拒绝连接 (Connection refused)
自闭吉普赛的博客
12-29 2184
https://CAS服务端地址/serviceValidate?根据错误日志追踪源码,可知问题出现在客户端回调服务端ticket 验证阶段。改用ip再次curl 发现可达,大概知道原因了。检查客户端服务器是否正确配置CAS服务域名解析。:在客户端服务器hosts文件追加域名解析信息。单点可正常跳转,服务恢复正常。
SocketTimeoutException和ConnectException简介
热门推荐
孤云博客
01-10 6万+
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666) SocketTimeoutException: 一、简介: SocketTimeoutException:指的是服务器响应超时 直接继承自java.io.InterruptedIOException,实现了可...
ScoketTimeout Exception浅析
皮卡丘的博客
04-23 9726
尊重博主原创,特贴博客链接。copy下来只怕以后链接失效或删掉。 一、ScoketTimeout Exception浅析 原文连接: https://www.cnblogs.com/huanghongbo/p/7890520.html https://www.iteye.com/blog/bupt04406-1733001 Client端只有一个put请求,往server端写数据,server端处...
单点登录cas常见问题(三) - 单点登出时,子系统是否同步登出
will的成长之路
02-18 8749
答案是:子系统会同步登出。 可以跟踪源码(这里cas版本是4.x) 调用流程如下: terminateSessionAction.terminate(flowRequestContext)     centralAuthenticationService.destroyTicketGrantingTicket(tgtId)     实现类CentralAuthentication
CAS单点登出相关配置
08-18
CAS单点登出功能的实现中,需要在CAS服务器端和CAS客户端应用中进行相应的配置。以下是配置的相关信息: CAS服务器端配置: 1. 在CAS服务器的配置文件(如cas.properties)中,需要设置以下属性: - `cas.logout.followServiceRedirects`: 设置为true,表示在登出过程中跟随服务端的重定向操作。 - `cas.logout.redirectParameterName`: 设置重定向参数的名称,默认为service。 - `cas.logout.addHandlerToChain`: 添加登出处理器到处理链中,例如:`cas.logout.addHandlerToChain=MyLogoutHandler`。 - `cas.logout.handlers.MyLogoutHandler.enabled`: 启用自定义登出处理器,需要根据实际情况进行配置。 2. 配置CAS服务器的登出URL: - 在CAS服务器的配置文件(如cas.properties)中,设置`cas.logout.defaultLogoutUrl`属性为CAS服务器的登出URL。 CAS客户端应用配置: 1. 配置CAS客户端应用的web.xml文件: - 添加CAS过滤器(如Cas20ProxyReceivingTicketValidationFilter),用于接收和验证CAS票据,并获取用户身份信息。 - 添加CAS单点登出过滤器(如SingleSignOutFilter),用于接收CAS服务器的登出请求并执行相应的登出操作。 2. 配置CAS客户端应用的属性文件(如cas.properties): - 设置`cas.server.logoutUrl`属性为CAS服务器的登出URL。 - 设置`cas.client.logoutRedirectParameterName`属性为重定向参数的名称,与CAS服务器端配置保持一致。 以上是CAS单点登出功能的相关配置信息。具体的配置方式和步骤可能会根据CAS服务器和客户端应用的不同而有所差异,可以参考CAS的官方文档或相关文档进行具体配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值