关于Cas实现单点登入(single sing on)功能的文章在网上介绍的比较多,想必大家多多少少都已经有所了解,在此就不再做具体介绍。如果不清楚的,那只能等我把single sign on这块整理出来后再了解了。当然去cas官方网站也是有很多的文章进行介绍。cas官网http://www.ja-sig.org/products/cas/。
ok,现在开始本文的重点内容讲解,先来了解一下cas 实现single sign 的原理,如图所示:

登出原理图

从第一张图中,当一个web浏览器登录到应用服务器时,应用服务器(application)会检测用户的session,如果没有session,则应用服务器会把url跳转到CAS server上,要求用户登录,用户登录成功后,CAS server会记请求的application的url和该用户的sessionId(在应用服务器跳转url时,通过参数传给CAS server)。此时在CAS服务器会种下TGC Cookie值到webbrowser.拥有该TGC Cookie的webbrowser可以无需登录进入所有建立sso服务的应用服务器application。
在第二张图中,当一个web浏览器要求登退应用服务器,应用服务器(application)会把url跳转到CAS server上的 /cas/logout url资源上,
CAS server接受请求后,会检测用户的TCG Cookie,把对应的session清除,同时会找到所有通过该TGC sso登录的应用服务器URL提交请求,所有的回调请求中,包含一个参数logoutRequest,内容格式如下:

<samlp:LogoutRequest ID="[RANDOM ID]" Version="2.0" IssueInstant="[CURRENT DATE/TIME]">
<saml:NameID>@NOT_USED@</saml:NameID>
<samlp:SessionIndex>[SESSION IDENTIFIER]</samlp:SessionIndex>
</samlp:LogoutRequest>

所有收到请求的应用服务器application会解析这个参数,取得sessionId,根据这个Id取得session后,把session删除。
这样就实现单点登出的功能。
知道原理后,下面是结合源代码来讲述一下内部的代码怎么实现的。
首先,要实现single sign out在 应用服务器application端的web.xml要加入以下配置

<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>

注:如果有配置CAS client Filter,则CAS Single Sign Out Filter 必须要放到CAS client Filter之前。
配置部分的目的是在CAS server回调所有的application进行单点登出操作的时候,需要这个filter来实现session清楚。
主要代码如下:
SingleSignOutHttpSessionListener实现了javax.servlet.http.HttpSessionListener接口,用于监听session销毁事件

public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain      filterChain) throws IOException, ServletException {final HttpServletRequest request = (HttpServletRequest) servletRequest;if ("POST".equals(request.getMethod())) {final String logoutRequest = request.getParameter("logoutRequest");if (CommonUtils.isNotBlank(logoutRequest)) {if (log.isTraceEnabled()) {log.trace ("Logout request=[" + logoutRequest + "]");}//从xml中解析 SessionIndex key值final String sessionIdentifier = XmlUtils.getTextForElement(logoutRequest, "SessionIndex");if (CommonUtils.isNotBlank(sessionIdentifier)) {//根据sessionId取得session对象final HttpSession session = SESSION_MAPPING_STORAGE.removeSessionByMappingId(sessionIdentifier);if (session != null) {String sessionID = session.getId();if (log.isDebugEnabled()) {log.debug ("Invalidating session [" + sessionID + "] for ST [" + sessionIdentifier + "]");}try {//让session失效
                             session.invalidate();} catch (final IllegalStateException e) {log.debug(e,e);}}return;}}} else {//get方式 表示登录,把session对象放到SESSION_MAPPING_STORAGE(map对象中)final String artifact = request.getParameter(this.artifactParameterName);final HttpSession session = request.getSession();if (log.isDebugEnabled() && session != null) {log.debug("Storing session identifier for " + session.getId());}if (CommonUtils.isNotBlank(artifact)) {SESSION_MAPPING_STORAGE.addSessionById(artifact, session);}}filterChain.doFilter(servletRequest, servletResponse);}

SingleSignOutHttpSessionListener实现了javax.servlet.http.HttpSessionListener接口,用于监听session销毁事件

public final class SingleSignOutHttpSessionListener implements HttpSessionListener {private Log log = LogFactory.getLog(getClass());private SessionMappingStorage SESSION_MAPPING_STORAGE;public void sessionCreated(final HttpSessionEvent event) {// nothing to do at the moment
      }//session销毁时public void sessionDestroyed(final HttpSessionEvent event) {if (SESSION_MAPPING_STORAGE == null) {//如果为空,创建一个sessionMappingStorage 对象SESSION_MAPPING_STORAGE = getSessionMappingStorage();}final HttpSession session = event.getSession();//取得当然要销毁的session对象if (log.isDebugEnabled()) {log.debug("Removing HttpSession: " + session.getId());}//从SESSION_MAPPING_STORAGE map根据sessionId移去session对象
         SESSION_MAPPING_STORAGE.removeBySessionById(session.getId());}/*** Obtains a {@link SessionMappingStorage} object. Assumes this method will always return the same* instance of the object.  It assumes this because it generally lazily calls the method.* * @return the SessionMappingStorage*/protected static SessionMappingStorage getSessionMappingStorage() {return SingleSignOutFilter.getSessionMappingStorage();}}

接下来,我们来看一下CAS server端回调是怎么实现的
先来看一下配置,我们知道CAS server所有的用户登录,登出操作,都是由CentralAuthenticationServiceImpl对象来管理。
我们就先把到CentralAuthenticationServiceImpl的spring配置,在applicationContext.xml文件中

<!-- CentralAuthenticationService --><bean id="centralAuthenticationService" class="org.jasig.cas.CentralAuthenticationServiceImpl"p:ticketGrantingTicketExpirationPolicy-ref="grantingTicketExpirationPolicy"p:serviceTicketExpirationPolicy-ref="serviceTicketExpirationPolicy"p:authenticationManager-ref="authenticationManager"p:ticketGrantingTicketUniqueTicketIdGenerator-ref="ticketGrantingTicketUniqueIdGenerator"p:ticketRegistry-ref="ticketRegistry"p:servicesManager-ref="servicesManager"p:persistentIdGenerator-ref="persistentIdGenerator"p:uniqueTicketIdGeneratorsForService-ref="uniqueIdGeneratorsMap" />

配置使用了spring2.0的xsd。CentralAuthenticationServiceImpl有一个属性叫uniqueTicketIdGeneratorsForService,它是一个map对象
它的key值是所有实现org.jasig.cas.authentication.principal.Service接口的类名,用于保存Principal对象和进行单点登出回调
application server时使用 value值为org.jasig.cas.util.DefaultUniqueTicketIdGenerator对象,用于生成唯一的TGC ticket。
该属性引用的uniqueIdGeneratorsMap bean在uniqueIdGenerators.xml配置文件中。

<util:map id="uniqueIdGeneratorsMap"><entrykey="org.jasig.cas.authentication.principal.SimpleWebApplicationServiceImpl"value-ref="serviceTicketUniqueIdGenerator" /><entrykey="org.jasig.cas.support.openid.authentication.principal.OpenIdService"value-ref="serviceTicketUniqueIdGenerator" /><entrykey="org.jasig.cas.authentication.principal.SamlService"value-ref="samlServiceTicketUniqueIdGenerator" /><entrykey="org.jasig.cas.authentication.principal.GoogleAccountsService"value-ref="serviceTicketUniqueIdGenerator" /></util:map>

那CentralAuthenticationServiceImpl是怎么调用的呢?
我们跟踪一下代码,在创建ticket的方法 public String createTicketGrantingTicket(final Credentials credentials)中
可以找到以下这样一段代码:

//创建 TicketGrantingTicketImpl 实例final TicketGrantingTicket ticketGrantingTicket = new TicketGrantingTicketImpl(this.ticketGrantingTicketUniqueTicketIdGenerator.getNewTicketId(TicketGrantingTicket.PREFIX),authentication, this.ticketGrantingTicketExpirationPolicy);//并把该对象保存到 ticketRegistry中this.ticketRegistry.addTicket(ticketGrantingTicket);

上面的代码,看到ticketRegistry对象保存了创建的TicketGrantingTicketImpl对象,下面我们看一下当ticket销毁的时候,会做什么
事情,代码如下:

public void destroyTicketGrantingTicket(final String ticketGrantingTicketId) {Assert.notNull(ticketGrantingTicketId);if (log.isDebugEnabled()) {log.debug("Removing ticket [" + ticketGrantingTicketId+ "] from registry.");}//从 ticketRegistry对象中,取得TicketGrantingTicket对象final TicketGrantingTicket ticket = (TicketGrantingTicket) this.ticketRegistry.getTicket(ticketGrantingTicketId, TicketGrantingTicket.class);if (ticket == null) {return;}if (log.isDebugEnabled()) {log.debug("Ticket found.  Expiring and then deleting.");}ticket.expire();//调用expire()方法,让ticket过期失效this.ticketRegistry.deleteTicket(ticketGrantingTicketId);//从ticketRegistry中删除的ticket 对象}

我们看到,它是从ticketRegistry对象中取得TicketGrantingTicket对象后,调用expire方法。接下来,要关心的就是expire方法做什么事情

public synchronized void expire() {this.expired.set(true);logOutOfServices();}private void logOutOfServices() {for (final Entry<String, Service> entry : this.services.entrySet()) {entry.getValue().logOutOfService(entry.getKey());}}

从代码可以看到,它是遍历每个 Service对象,并执行logOutOfService方法,参数是String sessionIdentifier
现在我们可以对应中,它存放的Service就是在uniqueIdGeneratorsMap bean定义中的那些实现类
因为logOutOfService方法的实现,所有实现类都是由它们继承的抽象类AbstractWebApplicationService来实现,我们来看一下
AbstractWebApplicationService的logOutOfService方法,就可以最终找出,实现single sign out的真正实现代码,下面是主要代码片段:

public synchronized boolean logOutOfService(final String sessionIdentifier) {if (this.loggedOutAlready) {return true;}LOG.debug("Sending logout request for: " + getId());//组装 logoutRequest参数内容final String logoutRequest = "<samlp:LogoutRequest xmlns:samlp=\"urn:oasis:names:tc:SAML:.:protocol\" ID=\""+ GENERATOR.getNewTicketId("LR")+ "\" Version=\".\" IssueInstant=\"" + SamlUtils.getCurrentDateAndTime()+ "\"><saml:NameID
 xmlns:saml=\"urn:oasis:names:tc:SAML:.:assertion\">@NOT_USED@</saml:NameID><samlp:SessionIndex>"+ sessionIdentifier + "</samlp:SessionIndex></samlp:LogoutRequest>";this.loggedOutAlready = true;//回调所有的application,getOriginalUrl()是取得回调的application urlif (this.httpClient != null) {return this.httpClient.sendMessageToEndPoint(getOriginalUrl(), logoutRequest);}return false;}

至此,已经通过源代码把 CAS实现 single sign out的实现原理和方法完整叙述了一遍.

转载于:https://www.cnblogs.com/yg_zhang/p/4356562.html

源代码解读Cas实现单点登出(single sign out)功能实现原理相关推荐

  1. 源代码解读Cas实现单点登出(single sign out)功能实现原理--转

    关于Cas实现单点登入(single sing on)功能的文章在网上介绍的比较多,想必大家多多少少都已经有所了解,在此就不再做具体介绍.如果不清楚的,那只能等我把single sign on这块整理 ...

  2. CAS 4.1.x 单点登出(退出登录)的原理解析

    2019独角兽企业重金招聘Python工程师标准>>> 我们在项目中使用了cas作为单点登录的解决方案,当在集成shiro做统一权限控制的时候,发现单点退出登录有坑,所以啃了一下CA ...

  3. CAS学习笔记五:SpringBoot自动/手动配置方式集成CAS单点登出

    本文目标 基于SpringBoot + Maven 分别使用自动配置与手动配置过滤器方式实现CAS客户端登出及单点登出. 本文基于<CAS学习笔记三:SpringBoot自动/手动配置方式集成C ...

  4. CAS单点登出,调整CAS源码,实现前后端分离单点登出、清除redis、shiro登录状态

    前端点击"登出"按钮,跳转到CAS的登出. CAS默认配置了单点登出,在登出后,会向所有客户端系统发送这个用户登出的报文. 各客户端系统有责任接收并处理这个用户登出的报文,然后在注 ...

  5. CAS 单点登出失效的问题(源码跟踪)

    一.环境说明 服务端:cas-server-3.5.2 客户端:cas-client-3.2.1+spring mvc 说明:服务端与客户端均是走的Https 客户端配置文件: application ...

  6. CAS单点登录四-单点登出

    实现最基本的单点登出只需在client处的web.xml中加入一个过滤器和一个监听器 <listener> <listener-class>org.jasig.cas.clie ...

  7. CAS单点登出实现案例

    2019独角兽企业重金招聘Python工程师标准>>> 单点登出的实现比较简单,就是简单的几个配置. 如果直接调用cas的logout的url进行登出,则会暴露cas的登出界面 显然 ...

  8. CAS学习笔记四:CAS单点登出流程

    CAS 的登出包含两种情况,一种是CAS客户端登出,另一种是CAS单点登出,使用流程图说明这两者的不同.(一图胜千言) 总结自官方文档 CAS客户端登出流程 如图,客户端的登出仅仅是过期当前用户与客户 ...

  9. java 单点登出_CAS单点登出的原理

    [出版社直供]操作系统精髓与第九版 91.6元 包邮 (需用券) 去购买 > 单点登出功能跟单点登录功能是相对应的,旨在通过Cas Server的登出使所有的Cas Client都登出. Cas ...

最新文章

  1. css超过两行显示为..._这6种组织CSS的方式,可以帮助你解决CSS扩展维护难的问题...
  2. 开源数据访问组件Smark.Data 1.7新增功能
  3. 服务器优化:Tomcat、JVM性能调优笔记
  4. 前端学习(1546):MVC思想
  5. 【bzoj1738】[Usaco2005 mar]Ombrophobic Bovines 发抖的牛 Floyd+二分+网络流最大流
  6. android录音播放列表,android数据库里的视频,图片,音频表
  7. 三分法解决凸(凹)函数极值问题
  8. Java之Exception
  9. 201803-1-跳一跳
  10. c++中的explicit关键字及隐式类型转换
  11. ArcView GIS 应用与开发技术(11)-空间分析
  12. 【rqnoj 341】星门跳跃
  13. 重装系统要花钱?教你免费一键重装win10系统
  14. 关于关于_WIN32_WINNT的说明
  15. gradle project sync failed.please fix your project and try again-Android Studio3.1.2运行出错
  16. 网络号、主机号、子网掩码、IP、子网划分、主机号划分
  17. 微信文件分享的那些坑
  18. 列表页面的展开以及收起
  19. 使用RTT代替UART,把你的JLink变成串口调试助手~
  20. Linux Mint 18.2安装WPS之优化设置

热门文章

  1. 科宇扫地机器人_我的三年16台智能扫地机器人使用回忆录 篇四:扫地谁更精准更干净?新一代3D视讯+激光成像 PK 老式激光扫描,万字实测对比分享...
  2. c语言中.h文件中的宏定义,endian.h这个头文件里面的宏可以直接用么?
  3. 在AI Studio创建课程 : 2021 ANN课程
  4. 2021年春季学期-信号与系统-第十五次作业参考答案
  5. 条形压电陶瓷执行器件和高压驱动器
  6. 使用小型变压器的线圈设计实验磁标初步实验
  7. 小型直流电机内部结构
  8. python flask跨域_Ajax与Flask传值的跨域问题
  9. 方糖全栈课 PHP React大系,方糖全栈课·PHP+React大系
  10. linux 设置开机命令提示符,centos设置开机默认命令行启动