cas实现单点登出

  • 格式:doc
  • 大小:121.00 KB
  • 文档页数:12

CAS单点登出原理

类似于之前的角色,我们重写单点登出的用例。用户从application1登出。交互步骤如下:

1.用户在application1点击登出,登出url被转向到Server。

2.Server收到登出请求后,删除用户的cookie,并且从内存中取出之前用户在所有的application中的登录的sessionId,依次向这些application发送消除session请求。并且删除之前内存中保存的用户登录的ticket号和票据的信息。

3.各个application收到Server的请求后,被single sign out的Filter拦截,根据回传的sessionId号,清除用户session。

4.单点登出完毕。

cas 实现single sign out的原理,如图所示:

图一

图二

第一张图演示了单点登陆的工作原理。

第二张图演示了单点登出的工作原理。

从第一张图中,当一个web浏览器登录到应用服务器时,应用服务器(application)会检测用户的session,如果没有session,则应用服务器会把url跳转到CAS server上,要求用户登录,用户登录成功后,CAS

server会记请求的application的url和该用户的sessionId(在应用服务器跳转url时,通过参数传给CAS server)。此时在CAS服务器会种下TGC Cookie值到webbrowser.拥有该TGC Cookie的webbrowser可以无需登录进入所有建立sso服务的应用服务器application。

在第二张图中,当一个web浏览器要求登退应用服务器,应用服务器(application)会把url跳转到CAS

server上的 /cas/logout url资源上,

CAS server接受请求后,会检测用户的TCG Cookie,把对应的session清除,同时会找到所有通过该TGC sso登录的应用服务器URL提交请求,所有的回调请求中,包含一个参数logoutRequest,内容格式如下:

@NOT_USED@

[SESSION IDENTIFIER]

所有收到请求的应用服务器application会解析这个参数,取得sessionId,根据这个Id取得session后,把session删除。

这样就实现单点登出的功能。

知道原理后,下面是结合源代码来讲述一下内部的代码怎么实现的。

首先,要实现single sign out在 应用服务器application端的web.xml要加入以下配置

CAS Single Sign Out Filter

org.jasig.cas.client.session.SingleSignOutFilter

CAS Single Sign Out Filter

/*

org.jasig.cas.client.session.SingleSignOutHttpSessionListener

注:如果有配置CAS client Filter,则CAS Single Sign Out Filter 必须要放到CAS client Filter之前。

配置部分的目的是在CAS server回调所有的application进行单点登出操作的时候,需要这个filter来实现session清楚。

主要代码如下:

org.jasig.cas.client.session.SingleSignOutFilter

1 public void doFilter(final ServletRequest servletRequest, final ServletResponse

servletResponse, final FilterChain

2

3 filterChain) throws IOException, ServletException {

4 final HttpServletRequest request = (HttpServletRequest) servletRequest;

5

6 if ("POST".equals(request.getMethod())) {

7 final String logoutRequest = request.getParameter("logoutRequest");

8

9 if (CommonUtils.isNotBlank(logoutRequest)) {

10

11 if (log.isTraceEnabled()) {

12 log.trace ("Logout request=[" + logoutRequest + "]");

13 }

14 //从xml中解析 SessionIndex key值

15 final String sessionIdentifier = XmlUtils.getTextForElement(logoutRequest, "SessionIndex");

16

17 if (CommonUtils.isNotBlank(sessionIdentifier)) {

18 //根据sessionId取得session对象

19 final HttpSession session = SESSION_MAPPING_STORAGE.removeSessionByMappingId(sessionIdentifier); 20

21 if (session != null) {

22 String sessionID = session.getId();

23

24 if (log.isDebugEnabled()) {

25 log.debug ("Invalidating session [" + sessionID + "] for ST

[" + sessionIdentifier + "]");

26 }

27

28 try {

29 //让session失效

30 session.invalidate();

31 } catch (final IllegalStateException e) {

32 log.debug(e,e);

33 }

34 }

35 return;

36 }

37 }

38 } else {//get方式 表示登录,把session对象放到SESSION_MAPPING_STORAGE(map对象中)

39 final String artifact = request.getParameter(this.artifactParameterName);

40 final HttpSession session = request.getSession();

41

42 if (log.isDebugEnabled() && session != null) {

43 log.debug("Storing session identifier for " + session.getId());

44 }

45 if (CommonUtils.isNotBlank(artifact)) {

46 SESSION_MAPPING_STORAGE.addSessionById(artifact, session); 47 }

48 }

49

50 filterChain.doFilter(servletRequest, servletResponse);

51 }

SingleSignOutHttpSessionListener实现了javax.servlet.http.HttpSessionListener接口,用于监听session销毁事件

1 public final class SingleSignOutHttpSessionListener implements HttpSessionListener {

2

3 private Log log = LogFactory.getLog(getClass());

4

5 private SessionMappingStorage SESSION_MAPPING_STORAGE;

6

7 public void sessionCreated(final HttpSessionEvent event) {

8 // nothing to do at the moment

9 }

10

11 //session销毁时

12 public void sessionDestroyed(final HttpSessionEvent event) {

13 if (SESSION_MAPPING_STORAGE == null) {//如果为空,创建一个sessionMappingStorage 对象

14 SESSION_MAPPING_STORAGE = getSessionMappingStorage();