【原创申明:文章为原创,欢迎非盈利性转载,但转载必须注明来源】
之前写过一篇文章,介绍单点登录的基本原理。这篇文章重点介绍开源单点登录系统CAS的登录和注销的实现方法。并结合实际工作中碰到的问题,探讨在集群环境中应用单点登录可能会面临的问题。这篇文章在上一篇的基础上,增加了第四部分,最终的解决方案。
1 单点登录的过程
为了描述方便,假设有如下一个单点登录系统。一套CASServer,两套CAS Client系统。为了描述的方便,省略CAS Server调用用户系统完成登录,以及CASClient从用户系统读取用户详细信息的过程。
1.1 多应用情况下Session信息
假定有两个CAS Client应用,一个CAS Server。应用的部署,可能在不同的服务器,也可能有不同的访问IP或域名,即使是同一个浏览器,在各个应用中的Session信息也是不相同的。
浏览器中,每个应用有一个独立的JSESSIONIDCookie。某一个应用,不可能读取到浏览器在其他应用中的Cookie信息。
假定用户首先访问CAS Client 01,系统提醒用户进行一次登录;然后用户访问CAS Client2,不会再提示登录而是直接登录成功。
1.2 第一次访问CAS Client 01
用户打开浏览器后第一次访问,重定向到单点登录后,会提示用户输入账号密码登录。登录成功之后,再跳转回CAS Client。
1.3 第一次访问CAS Client 02
当用户浏览器已经登录系统,切换到另一个CASClient时,跟第一次访问有所不同,因为已经登录成功,就不会再提醒输入账号密码登录了。
1.4 再次访问CAS Clients
当用户已经访问过CAS Client后,当用户再次访问,系统不会再跳转到CAS Server做认证。
1.5 CASClient配置
为了实现前述的单点登录过程,以Java WEB项目为例,需要在 web.xml 中进行相应的配置。(为了排版,没有填写Filter的完整class名,请自行查阅补充。)
CAS AuthenticationFilter
*.AuthenticationFilter
CAS Validation Filter
*.Cas10TicketValidationFilter
CAS HttpServletRequest WrapperFilter
*.HttpServletRequestWrapperFilter
CAS Validation Filter
/*
CAS AuthenticationFilter
/*
CAS HttpServletRequest WrapperFilter
/*
仔细看一下配置过滤器可以发现,三个过滤器正好对应流程图中三次访问CAS Client。
Authentication Filter:负责将未登录用户跳转到登录界面
Authentication Filter:负责验证Service Ticket
HttpServletRequest WrapperFilter:负责将用户信息封装到request和session中。
2 统一注销的过程
2.1 不能实现统一注销会有什么问题
当用户访问系统后从系统注销,如何能够从每个应用中都注销?注意前面1.4部分的描述,如果用户注销时,并没有注销CASClient 02中