SpringMVC-shiro-cas实现单点登出功能(记录一下)

于 2023-04-24 16:03:57 发布
阅读量773 收藏 1
点赞数
文章标签: servlet java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcnaabb/article/details/130344903
版权

一:创建SingleSignOutFilter、SingleSignOutHandler、SingleSignOutHttpSessionListener类实现自定义登出

package com.jeeplus.common.config;

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.jasig.cas.client.session.SessionMappingStorage;
import org.jasig.cas.client.util.AbstractConfigurationFilter;
import org.jasig.cas.client.validation.Assertion;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

import static org.jasig.cas.client.util.AbstractCasFilter.CONST_CAS_ASSERTION;

/**
 * @author: 王强
 * @create: 2023-04-23 10:27
 **/
public class SingleSignOutFilter extends AbstractConfigurationFilter {

    private static final SingleSignOutHandler HANDLER = new SingleSignOutHandler();

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        if (!isIgnoreInitConfiguration()) {
            HANDLER.setArtifactParameterName(getPropertyFromInitParams(filterConfig, "artifactParameterName", "ticket"));
            HANDLER.setLogoutParameterName(getPropertyFromInitParams(filterConfig, "logoutParameterName", "logoutRequest"));
            //clusterNodeUrls
            HANDLER.setClusterNodeUrls(getPropertyFromInitParams(filterConfig, "clusterNodeUrls", ""));
        }
        HANDLER.init();
    }

    public void setArtifactParameterName(String name) {
        HANDLER.setArtifactParameterName(name);
    }

    public void setLogoutParameterName(String name) {
        HANDLER.setLogoutParameterName(name);
    }

    public void setSessionMappingStorage(SessionMappingStorage storage) {
        HANDLER.setSessionMappingStorage(storage);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        if (HANDLER.isTokenRequest(request)) {
            HANDLER.recordSession(request);
        } else if(HANDLER.isLogoutRequest(request)){//cas-server logout请求
            HANDLER.destroySession(request);
            return;
        } else if(HANDLER.isLogoutRequestFromClusterNode(request)){//接收其它节点发送的http logout请求
            //清除本节点session
            HANDLER.destroySessionFromClusterNode(request);
            return;
        }

        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }

    protected static SingleSignOutHandler getSingleSignOutHandler() {
        return HANDLER;
    }
}

package com.jeeplus.common.config;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.client.utils.HttpClientUtils;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;
import org.jasig.cas.client.session.HashMapBackedSessionMappingStorage;
import org.jasig.cas.client.session.SessionMappingStorage;
import org.jasig.cas.client.util.CommonUtils;
import org.jasig.cas.client.util.XmlUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;
import org.apache.http.client.HttpClient;
import org.apache.http.message.BasicNameValuePair;
import org.apache.http.NameValuePair;

import java.util.ArrayList;
import java.util.List;


/**
 * @author: 王强
 * @create: 2023-04-23 10:32
 **/
public class SingleSignOutHandler {

    private final Log log = LogFactory.getLog(getClass());

    private SessionMappingStorage sessionMappingStorage = new HashMapBackedSessionMappingStorage();

    private String artifactParameterName = "ticket";

    private String logoutParameterName = "logoutRequest";

    private String logoutParameterClusterName = "logoutRequestCluster";
    ///clusterNodeUrls
    private String clusterNodeUrls;

    public void setSessionMappingStorage(SessionMappingStorage storage) {
        this.sessionMappingStorage = storage;
    }

    public SessionMappingStorage getSessionMappingStorage() {
        return this.sessionMappingStorage;
    }

    public void setArtifactParameterName(String name) {
        this.artifactParameterName = name;
    }

    public void setLogoutParameterName(String name) {
        this.logoutParameterName = name;
    }

    public void setClusterNodeUrls(String clusterNodeUrls) {
        this.clusterNodeUrls = clusterNodeUrls;
    }

    public void init() {
        CommonUtils.assertNotNull(this.artifactParameterName,"artifactParameterName cannot be null.");
        CommonUtils.assertNotNull(this.logoutParameterName,"logoutParameterName cannot be null.");
        CommonUtils.assertNotNull(this.sessionMappingStorage,"sessionMappingStorage cannote be null.");
    }

    public boolean isTokenRequest(HttpServletRequest request) {
        return CommonUtils.isNotBlank(CommonUtils.safeGetParameter(request,this.artifactParameterName));
    }

    public boolean isLogoutRequest(HttpServletRequest request) {
        log.info("isLogoutRequest begin----");
        log.info(request.getRequestURL());
        log.info("request.getMethod()=" + request.getMethod());
        log.info("CommonUtils.isNotBlank(CommonUtils.safeGetParameter(request, this.logoutParameterName,this.safeParameters))="
                + CommonUtils.isNotBlank(CommonUtils.safeGetParameter(request, this.logoutParameterName)));
        log.info("isLogoutRequest end----");
        return ("POST".equals(request.getMethod())) && (!isMultipartRequest(request))
                && (CommonUtils.isNotBlank(CommonUtils.safeGetParameter(request, this.logoutParameterName)));
    }

    /**
     * 判断是否是其它节点发送的logout通知
     * @param request
     * @return
     */
    public boolean isLogoutRequestFromClusterNode(HttpServletRequest request) {
        log.info("isLogoutRequestFromClusterNode begin---");
        log.info("clusterNodeUrls=" + this.clusterNodeUrls);
        log.info("request.getParameter(this.logoutParameterClusterName)=" + request.getParameter(this.logoutParameterClusterName));
        log.info("isLogoutRequestFromClusterNode end---");
        return (!isMultipartRequest(request)) && ("true".equals(request.getParameter(this.logoutParameterClusterName)));
    }

    public void recordSession(HttpServletRequest request) {
        HttpSession session = request.getSession(true);

        String token = CommonUtils.safeGetParameter(request,this.artifactParameterName);
        log.info("--------recordSession-------------token:"+token);
        if (this.log.isDebugEnabled()) {
            this.log.debug("Recording session for token " + token);
        }
        try {
            this.sessionMappingStorage.removeBySessionById(session.getId());
        } catch (Exception e) {
        }

        this.sessionMappingStorage.addSessionById(token, session);
    }

    public void destroySession(HttpServletRequest request) {
        log.info("destroySession begin---");
        String logoutMessage = CommonUtils.safeGetParameter(request,this.logoutParameterName);
        if (this.log.isTraceEnabled()) {
            this.log.trace("Logout request:\n" + logoutMessage);
        }
        String token = XmlUtils.getTextForElement(logoutMessage, "SessionIndex");
        if (CommonUtils.isNotBlank(token)) {
            HttpSession session = this.sessionMappingStorage.removeSessionByMappingId(token);

            if (session != null) {//session在当前节点
                log.info("destroySession session在当前节点------");
                String sessionID = session.getId();

                if (this.log.isDebugEnabled()) {
                    this.log.debug("Invalidating session [" + sessionID + "] for token [" + token + "]");
                }
                try {
                    session.invalidate();
                } catch (IllegalStateException e) {
                    this.log.debug("Error invalidating session.", e);
                }
            }else {//session不在当前节点
                log.info("destroySession session不在当前节点------");
                //清除其他节点,采用广播形式发送http请求
                destroySessionOfClusterNodes(token);
            }
        }
        log.info("destroySession end---");
    }

    /**
     * 采用广播形式发送http请求,通知其他节点清除session
     * @author xubo 2018-3-21
     * @param token
     */
    private void destroySessionOfClusterNodes(String token) {
        //广播到所有节点
        log.info("destroySessionOfClusterNodes--begin-----:" + token);
        if(this.clusterNodeUrls != null && this.clusterNodeUrls.length() > 0){
            log.info(clusterNodeUrls);
            String[] clusters = this.clusterNodeUrls.split(",");
            for (String url : clusters) {
                HttpClient httpClient = new DefaultHttpClient();

                HttpPost httpPostReq = new HttpPost(url);
                List<NameValuePair> paramList = new ArrayList<NameValuePair>();
                paramList.add(new BasicNameValuePair(this.logoutParameterClusterName,"true"));
                paramList.add(new BasicNameValuePair(this.artifactParameterName,token));
                try {
                    httpPostReq.setEntity(new UrlEncodedFormEntity(paramList));
                    httpClient.execute(httpPostReq);
                } catch (Exception e) {
                    log.debug("Error destroySessionOfClusterNodes.",e);
                }finally{
                    HttpClientUtils.closeQuietly(httpClient);
                }
            }
        }
        log.info("destroySessionOfClusterNodes--end-----:" + token);
    }

    /**
     * 接收从其它节点的通知,清除session
     * @author xubo 2018-3-21
     * @param request
     */
    public void destroySessionFromClusterNode(HttpServletRequest request){
        String token = request.getParameter(this.artifactParameterName);
        log.info("destroySessionFromClusterNode----begin---:" + token);
        if(CommonUtils.isNotBlank(token)){
            final HttpSession session = sessionMappingStorage.removeSessionByMappingId(token);

            if(session != null){
                String sessionID = session.getId();

                if(log.isDebugEnabled()){
                    log.debug("Invalidating session[" + sessionID +"] for token [" + token + "]");
                }
                try {
                    session.invalidate();
                } catch (final IllegalStateException e) {
                    log.debug("Error invalidating session",e);
                }
            }
        }
        log.info("destroySessionFromClusterNode----end---:" + token);
    }

    private boolean isMultipartRequest(HttpServletRequest request) {
        return (request.getContentType() != null) && (request.getContentType().toLowerCase().startsWith("multipart"));
    }
}

package com.jeeplus.common.config;

/**
 * @author: 王强
 * @create: 2023-04-24 09:13
 **/
import org.jasig.cas.client.session.SessionMappingStorage;

import javax.servlet.http.HttpSession;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;
import java.util.ArrayList;
import java.util.List;

public final class SingleSignOutHttpSessionListener implements HttpSessionListener {
    private SessionMappingStorage sessionMappingStorage;
    private static List<String> logoutSessionId = new ArrayList<>();

    public static List<String> getLogoutSessionId() {
        return logoutSessionId;
    }

    public static void addLogoutSessionId(String id){
        logoutSessionId.add(id);
    }
    public static void removeLogoutSessionId(String id){
        logoutSessionId.remove(id);
    }

    public SingleSignOutHttpSessionListener() {
    }

    public void sessionCreated(HttpSessionEvent event) {
    }

    public void sessionDestroyed(HttpSessionEvent event) {
        if (this.sessionMappingStorage == null) {
            this.sessionMappingStorage = getSessionMappingStorage();
        }

        HttpSession session = event.getSession();
        this.sessionMappingStorage.removeBySessionById(session.getId());
        addLogoutSessionId(session.getId());
    }

    protected static SessionMappingStorage getSessionMappingStorage() {
        return SingleSignOutFilter.getSingleSignOutHandler().getSessionMappingStorage();
    }
}

二:在web.xml文件中引入创建的监听器过滤器

<!-- cas:用于单点退出,这个过滤器是在其他服务登出通知cas服务的时候,cas服务通知本服务退出时起作用 -->
    <listener>
<!--      <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>-->
      <listener-class>com.jeeplus.common.config.SingleSignOutHttpSessionListener</listener-class>
    </listener>
    <filter>
      <filter-name>logoutFilter</filter-name>
<!--      <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>-->
      <filter-class>com.jeeplus.common.config.SingleSignOutFilter</filter-class>
      <init-param>
        <param-name>casServerUrlPrefix</param-name>
        <param-value>http://www.casserver.com:8443</param-value>
      </init-param>
    </filter>
    <filter-mapping>
      <filter-name>logoutFilter</filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

三:在项目中的拦截器里面判断是否是登录状态

 参考

http://e.betheme.net/article/show-21298.html?action=onClick

xcnaabb
关注
springMVC集成shirocas实现SSO单点登录
wangli61289的专栏
02-01 7804
一、前言 Apache Shiro与Spring Security一样是Java的一个安全框架。那为什么与Spring整合却用Shiro?其实我个人是认为Spring Security太过于笨重,要写太多的过滤器,Shiro的配置简单这就是我选择的理由,何况Spring官方自己都推荐使用ShiroShiro最主要的就是认证与授权,而CAS的重点在于单点登录,其实CASShiro整合的话就是关
SpringMVC中的单点登录实现
Rava722的博客
02-14 1万+
单点登录功能在实际的应用场景中还是很重要的,逻辑上我们也不允许一个用户同时在进行着两个操作,下面就来了解一下SpringMVC单点登录实现 1,先探究一个基本的实现原理:这个功能还是比较简单的,就是对于同一个web项目同一个时间只能有一个用户在进行操作,所以这里就涉及到一个异地登录的发现,而这里就推出两条路,1是服务器发现已登录的用户通过另一个IP再次执行了登录操作,然后主动推送一个提醒告诉
利用spring+springMvc单点登录(SSO)的简单实现(含源码)
热门推荐
qq_31183297的博客
03-02 3万+
一、简介       继上一次的第三方登录后,趁热打铁,继续学习了一下单点登录。和oauth2.0的原理有些相似。都是客户端登录的时候需要去服务端认证一下。认证通过才能进行登录。不同的是,单点登录需要自己去维持一个认证服务器与用户浏览器的全局会话、客户端端与用户浏览器的局部会话,通过判断确认用户是否登录。详细原理不介绍了,如果不知道原理不建议直接实现过程,需要先去补一补原理。推荐一篇我学习的时候看...
springmvc+spring+shiro+cas单点登录实例
01-11
spring+springmvc+shiro+cas单点登录实例 springmvc+spring+shiro+cas单点登录实例 加入了登录验证码认证,修改了下首页样式,不过样式没有弄好,很丑的,有空自己再弄下 说明:cas-server是单点登录服务端,用的是maven项目,但是WEB-INF里面的lib目录下面有很多jar包需要导入到工程。服务端启动就用windows版本的tomcat吧,tomcat添加cas-server就好,端口自定 spring-node-1 和spring-node-1 是cas客户端,这两个直接用maven-tomcat7的插件启动,在pom.xml中配置好了,端口也在配置了。然后clean install tomcat7:run 就能跑起来,注意要修改node1和node2里的shiro.properties配置文件,要配置登录成功成功返回的路径 我的访问的分别是: 服务端: http://localhost:8050/cas-server 客户端:http://127.0.0.1:8081/node1/shiro-cas http://127.0.0.1:8082/node2/shiro-cas 下载地址 github :https://github.com/xiaofeifeia/spring-springmvc-shiro-cas-.git
springmvc单点登录
weixin_34402408的博客
10-29 169
2019独角兽企业重金招聘Python工程师标准>>> ...
spring mvc实现单点登录
wisdom_bo的博客
04-28 1626
闲来无事,想起来之前解决的问题还未曾做笔记,借此时机,对前一阶段的工作做一个总结。    刚接手这个项目的时候,任何用户在任何地点任何时间都可以使用同一个账户登录,这让我很恼火,完全不符合设计要求,于是,决定对其进行改善。这是我实现单点登录的 代码: 功能一    单点登录实现机制:            当用户A使用账号a在浏览器中登录时,若用户B在另一台电脑上也用a账号登录,当用户B
cas结合 springmvc shiro 单点登录
04-30
本项目是关于如何将CAS(Central Authentication Service)与SpringMVCShiro结合实现SSO的实践示例。 首先,我们来了解一下三个主要组件: 1. **CAS**: CAS是一个开源的身份验证框架,主要用于处理用户身份验证...
cas.zip_cas 结合 springmvc shiro 做项目单点认证
04-30
本项目结合了CAS(Central Authentication Service)、SpringMVCShiro三个核心组件来实现这样的功能CAS是一个开源的身份验证框架,它提供了基于Web的SSO解决方案。CAS服务器作为认证中心,负责验证用户的凭证...
pac4j探索(二): buji-pac4j+Cas+Shiro+SpringMvc实现单点登录
hxm_Code的专栏
02-01 1万+
在pac4j探索的上一篇文章大致讲述了一下buji-pac4j+CAS的认证流程。这里记录一下本人实现的最简单的单点登录,仅作为笔记、学习交流之用,戳这里获取本文源码。一、项目框架 1、 buji-pac4j(v.3.0.0) 2、shiro (v.1.4.0) 3、springmvc (v.4.3.2) 4、CAS (v.4.2.6) 5
springboot+shiro+cas5.2实现SSO单点登录(超详细
Z丶royAl的博客
03-30 1万+
一、下载cas的服务端cas-overlay-template,这里我用的是5.2版本,JDK用的1.8 二、进入到解压后的cas-overlay-template-master文件夹,使用maven命令打包,打包比较慢,建议maven仓库换成阿里云的提升速度 mvn clean package 三、打包完后会出现target文件夹,里面有cas.war文件 四 ...
SpringMVC拦截器实现单点登录
08-28
主要介绍了SpringMVC拦截器实现单点登录,简单介绍了springmvc拦截器,单点登录实现原理等相关内容,具有一定参考价值,需要的朋友可以了解下。
spring+springMvc简单实现SSO单点登录
03-02
利用springMvc 实现的简单的单点登录Demo,内含三个小Mavn项目分别是 1、认证中心SSOServer 2、子系统1SSOClient1 3、子系统2SSOClient2 文章请参考 http://blog.csdn.net/qq_31183297/article/details/79419222
使用SessionListener+持久化Session+Springmvc拦截器实现单点登录
10-24
使用SessionListener+持久化Session+Springmvc拦截器实现单点登录
shiro实现单点登录
10-15
spring整合shirospring-data-redis和spring-session-data-redis通过shiro实现单点登录
在spring mvc项目中实现登录账号单点登录
qq_27547733的博客
10-07 1858
在很多web产品中都需要实现在同一时刻,只能允许一个账号同时只能在一个浏览器当中登录。通俗点讲就是当A账号在浏览器1当中登录了,此时在浏览器2中登录A账号。那么在浏览器1中的A账号将会被挤出去,当用户操作浏览器1的页面,页面会跳到登录页面,需要重新登录。那么我们怎么实现这样的功能呢?下面将给大家进行详细的介绍: 原理 用户A使用账号a在浏览器当中登录,然后用户B在另外一台电脑上的浏览器
SpringMVC项目对接CAS服务端实现单点登录
Nicky's blog
09-04 6006
业务场景:之前写过CAS服务端的例子,也对接过基于SpringBoot的CAS,不过最近项目要对接第三方的CAS实现单点登录,而我们项目是基于SpringMVC的,所以就摸索了一下对接方案
springMvc单点登录对接
xuqinglin的专栏
11-03 713
@RequestMapping(value = "/testLogin") public String ooooAuthentication(@RequestParam(value = "loginName", required = true) String loginName, HttpServletResponse res...
使用SpringMVC拦截器实现简单的单点登录
qq_43705987的博客
10-24 669
基本概念 SpringMVC为我们预留了一系列的接口供我们自定义配置来满足业务需要。HandlerInterceptorAdapterHttp就是Http请求处理的拦截器配置。请求在进入自定义的 Controller 之前会执行 Inteceptor拦截器的perhanld方法; 方法参数里有 request 和 response 供我们使用 @Override public boolean preHandle(HttpServletRequest request,
SSM到RBAC:MyBatis-Spring-SpringMVC-Hibernate-Shiro深度学习
"高级框架阶段教程,涵盖了MyBatis、Spring、SpringMVC、SSM、RBAC权限控制、Hibernate、Shiro等多个热门IT技术领域,包括视频讲解、源代码示例及学习笔记。" 在IT行业中,框架的使用是提升开发效率、保证项目稳定...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值