SpringSession系统对接CAS遇到的反序列化问题

1、业务背景

业务背景：最近在对接CAS单点登录，遇到一个问题，加班到凌晨，先描述一下背景，首先公司的系统是基于Spring Session做的单点登录，目的是引用Spring Session实现会话共享，然后最近接到需求，要对接另外一个公司的CAS单点登录系统，也就是说自己公司内部多个子系统直接通过Spring session实现单点登录，然后再对接一个第三方公司的单点登录，听起来有点像非常规操作。

这个对接也就是自己的spring Session体系的系统作为一个cas client主体，然后再去对接CAS

2、单点登录

单点登录(Single sign on)，英文名称缩写SSO，SSO的意思就是在多系统的环境中，登录单方系统，就可以在不用再次登录的情况下访问相关受信任的系统。也就是说只要登录一次单体系统就可以。

3、CAS单点登录

CAS(Center Authentication Service)是耶鲁大学研究的一款开源的单点登录项目，主要为web项目提供单点登录实现，属于Web SSO。然后，需要先了解CAS单点登录，按照CAS的规范进行对接，cas的资料可以参考我之前的：CAS单点登录系列博客

CAS官网资料：

CAS Github链接
Apereo CAS官方网站

CAS体系结构分为CAS Server和CAS Client。

CAS Server就是Cas开源的，需要去github下载，然后进行修改;Cas Client
可以是App或者web端的或者PC端，CAS支持多种开发语言，java、php、C#等等

PS：图来自官网，这里简单介绍一下，从图可以看出，CAS支持多种方式的认证，一种是LDAP的、比较常见的数据库Database的JDBC，还有Active Directory等等；支持的协议有Custom Protocol 、 CAS 、 OAuth 、 OpenID 、 RESTful API 、 SAML1.1 、 SAML2.0 等

下面给出一张来自CAS官方的图片

CAS登录等系统分为CAS Server和CAS Client，下面，我根据我的理解稍微解释一下：

1、用户访问CAS Client请求资源

2、客户端程序做了重定向，重定向到CAS Server

3、CAS Server会对请求做认证，验证是否有TGC(Ticket Granted Cookie，有TGC说明已经登录过，不需要再登录，没有就返回登录页面

4、认证通过后会生成一个Service Ticket返回Cas Client，客户端进行Ticket缓存，一般放在Cookie里，我们称之为TGC(Ticket Granted Cookie)

5、然后Cas Client就带着Ticket再次访问Cas Server，CAS Server进行Ticket验证

6、CAS Server对Ticket进行验证，通过就返回用户信息，用户拿到信息后就可以登录

4、原因分析

所以可以先分析一下怎么实现？首先既然是不同公司的登录系统，一般都会有两套的用户体系，所以可以先设计一张用户的关联表，然后两套系统的用户关联关系。按照CAS规范对接之后，我们拿到cas的登录用户账号，从关联表拿出公司系统（基于Spring Session）的用户账号，进行自己内部系统的登录

ok，看起来方案还是比较清晰，不过在上线后，出现麻烦的问题，就是自己的登录包登录之后，登录包拿到cas的用户之后，再取关联用户数据去进行内部系统的springSession单点登录之后，这个包是正常，不过在其它war包系统进行登录，发现，springsession，session对象都获取不到，一直抛异常，redis序列化失败，ClassNotFoundException？

org.springframework.data.redis.serializer.SerializationException: Cannot deseria
lize; nested exception is org.springframework.core.serializer.support.Serializat
ionFailedException: Failed to deserialize payload. Is the byte array a result of
corresponding serialization for DefaultDeserializer?; nested exception is org.s
pringframework.core.NestedIOException: Failed to deserialize object type; nested
exception is java.lang.ClassNotFoundException: org.jasig.cas.client.validation.
AssertionImpl
at org.springframework.data.redis.serializer.JdkSerializationRedisSerial
izer.deserialize(JdkSerializationRedisSerializer.java:41)
at org.springframework.data.redis.core.AbstractOperations.deserializeHas
hValue(AbstractOperations.java:316)
at org.springframework.data.redis.core.AbstractOperations.deserializeHas
hMap(AbstractOperations.java:277)
at org.springframework.data.redis.core.DefaultHashOperations.entries(Def
aultHashOperations.java:227)
at org.springframework.data.redis.core.DefaultBoundHashOperations.entrie
s(DefaultBoundHashOperations.java:101)
…

然后纠结想了很久，没找到原因，后来部门老大找到方法，就是在tomcat lib下面丢一下cas-client-core.jar

原因是什么？首先要对Spring session有一定了解，非spring session项目，Session的管理一般是给中间件，比如tomcat、weblogic等等进行管理的，而引用SpringSession项目后，Session管理给框架实现，然后会将数据同步到redis，也就是我们使用了setSession，数据都会同步到redis

同时，我们也要熟悉CAS，可以找cas client源码里找到如下代码：代码里将一个对象丢到里Session里

所以，就可以知道在知道原因了，我们分析一下：在对接CAS时，在过滤器里，我们将AssertionImpl这个对象丢到了Session里，然后经过springSession管理的项目，就有问题，可以先在cas源码里找到哪里进行了setSession

org.jasig.cas.client.jaas.Servlet3AuthenticationFilter

org.jasig.cas.client.validation.AbstractTicketValidationFilter.java：

ok，本博客进行比较浅显的分析，先做好记录，日后有时间再看看源码实现

5、附录资料

CAS官网资料：

CAS Github链接
Apereo CAS官方网站