- 浏览: 63214 次
- 性别:
最新评论
-
hanfeng870223:
...
验证码机制实现 -
dovecat:
在workbook中可以设置样式的模板.比用代码设置要方便多了 ...
[讨论]poi jxl 操作excel出报表 -
jwen:
大家有检验的介绍下.
[讨论]poi jxl 操作excel出报表 -
jwen:
呵呵 谢谢大家的意见,只选一个的情况是可以的,
但全部不选的情 ...
获得一组checkbox的值 -
抛出异常的爱:
如果只有一个被选中。。。。。。你试过没有?
获得一组checkbox的值
关于Cas实现单点登入(single sing on)功能的文章在网上介绍的比较多,想必大家多多少少都已经有所了解,在此就不再做具体介绍。如果不清楚的,那只能等我把single sign on这块整理出来后再了解了。当然去cas官方网站也是有很多的文章进行介绍。cas官网http://www.ja-sig.org/products/cas/。
ok,现在开始本文的重点内容讲解,先来了解一下cas 实现single sign out的原理,如图所示:
图一
图二
第一张图演示了单点登陆的工作原理。
第二张图演示了单点登出的工作原理。
从第一张图中,当一个web浏览器登录到应用服务器时,应用服务器(application)会检测用户的session,如果没有session,则应用服务器会把url跳转到CAS server上,要求用户登录,用户登录成功后,CAS server会记请求的application的url和该用户的sessionId(在应用服务器跳转url时,通过参数传给CAS server)。此时在CAS服务器会种下TGC Cookie值到webbrowser.拥有该TGC Cookie的webbrowser可以无需登录进入所有建立sso服务的应用服务器application。
在第二张图中,当一个web浏览器要求登退应用服务器,应用服务器(application)会把url跳转到CAS server上的 /cas/logout url资源上,
CAS server接受请求后,会检测用户的TCG Cookie,把对应的session清除,同时会找到所有通过该TGC sso登录的应用服务器URL提交请求,所有的回调请求中,包含一个参数logoutRequest,内容格式如下:
<samlp:LogoutRequest ID="[RANDOM ID]" Version="2.0" IssueInstant="[CURRENT DATE/TIME]">
<saml:NameID>@NOT_USED@</saml:NameID>
<samlp:SessionIndex>[SESSION IDENTIFIER]</samlp:SessionIndex>
</samlp:LogoutRequest>
所有收到请求的应用服务器application会解析这个参数,取得sessionId,根据这个Id取得session后,把session删除。
这样就实现单点登出的功能。
知道原理后,下面是结合源代码来讲述一下内部的代码怎么实现的。
首先,要实现single sign out在 应用服务器application端的web.xml要加入以下配置
<filter> <filter-name>CAS Single Sign Out Filter</filter-name> <filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class> </filter> <filter-mapping> <filter-name>CAS Single Sign Out Filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <listener> <listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class> </listener>
注:如果有配置CAS client Filter,则CAS Single Sign Out Filter 必须要放到CAS client Filter之前。
配置部分的目的是在CAS server回调所有的application进行单点登出操作的时候,需要这个filter来实现session清楚。
主要代码如下:
org.jasig.cas.client.session.SingleSignOutFilter 1 public void doFilter(final ServletRequest servletRequest, final ServletResponse servletResponse, final FilterChain 2 3 filterChain) throws IOException, ServletException { 4 final HttpServletRequest request = (HttpServletRequest) servletRequest; 5 6 if ("POST".equals(request.getMethod())) { 7 final String logoutRequest = request.getParameter("logoutRequest"); 8 9 if (CommonUtils.isNotBlank(logoutRequest)) { 10 11 if (log.isTraceEnabled()) { 12 log.trace ("Logout request=[" + logoutRequest + "]"); 13 } 14 //从xml中解析 SessionIndex key值 15 final String sessionIdentifier = XmlUtils.getTextForElement(logoutRequest, "SessionIndex"); 16 17 if (CommonUtils.isNotBlank(sessionIdentifier)) { 18 //根据sessionId取得session对象 19 final HttpSession session = SESSION_MAPPING_STORAGE.removeSessionByMappingId(sessionIdentifier); 20 21 if (session != null) { 22 String sessionID = session.getId(); 23 24 if (log.isDebugEnabled()) { 25 log.debug ("Invalidating session [" + sessionID + "] for ST [" + sessionIdentifier + "]"); 26 } 27 28 try { 29 //让session失效 30 session.invalidate(); 31 } catch (final IllegalStateException e) { 32 log.debug(e,e); 33 } 34 } 35 return; 36 } 37 } 38 } else {//get方式 表示登录,把session对象放到SESSION_MAPPING_STORAGE(map对象中) 39 final String artifact = request.getParameter(this.artifactParameterName); 40 final HttpSession session = request.getSession(); 41 42 if (log.isDebugEnabled() && session != null) { 43 log.debug("Storing session identifier for " + session.getId()); 44 } 45 if (CommonUtils.isNotBlank(artifact)) { 46 SESSION_MAPPING_STORAGE.addSessionById(artifact, session); 47 } 48 } 49 50 filterChain.doFilter(servletRequest, servletResponse); 51 } SingleSignOutHttpSessionListener实现了javax.servlet.http.HttpSessionListener接口,用于监听session销毁事件 1 public final class SingleSignOutHttpSessionListener implements HttpSessionListener { 2 3 private Log log = LogFactory.getLog(getClass()); 4 5 private SessionMappingStorage SESSION_MAPPING_STORAGE; 6 7 public void sessionCreated(final HttpSessionEvent event) { 8 // nothing to do at the moment 9 } 10 11 //session销毁时 12 public void sessionDestroyed(final HttpSessionEvent event) { 13 if (SESSION_MAPPING_STORAGE == null) {//如果为空,创建一个sessionMappingStorage 对象 14 SESSION_MAPPING_STORAGE = getSessionMappingStorage(); 15 } 16 final HttpSession session = event.getSession();//取得当然要销毁的session对象 17 18 if (log.isDebugEnabled()) { 19 log.debug("Removing HttpSession: " + session.getId()); 20 } 21 //从SESSION_MAPPING_STORAGE map根据sessionId移去session对象 22 SESSION_MAPPING_STORAGE.removeBySessionById(session.getId()); 23 } 24 25 /** 26 * Obtains a {@link SessionMappingStorage} object. Assumes this method will always return the same 27 * instance of the object. It assumes this because it generally lazily calls the method. 28 * 29 * @return the SessionMappingStorage 30 */ 31 protected static SessionMappingStorage getSessionMappingStorage() { 32 return SingleSignOutFilter.getSessionMappingStorage(); 33 } 34 }
接下来,我们来看一下CAS server端回调是怎么实现的
先来看一下配置,我们知道CAS server所有的用户登录,登出操作,都是由CentralAuthenticationServiceImpl对象来管理。
我们就先把到CentralAuthenticationServiceImpl的spring配置,在applicationContext.xml文件中
<!-- CentralAuthenticationService -->
<bean id="centralAuthenticationService" class="org.jasig.cas.CentralAuthenticationServiceImpl"
p:ticketGrantingTicketExpirationPolicy-ref="grantingTicketExpirationPolicy"
p:serviceTicketExpirationPolicy-ref="serviceTicketExpirationPolicy"
p:authenticationManager-ref="authenticationManager"
p:ticketGrantingTicketUniqueTicketIdGenerator-ref="ticketGrantingTicketUniqueIdGenerator"
p:ticketRegistry-ref="ticketRegistry"
p:servicesManager-ref="servicesManager"
p:persistentIdGenerator-ref="persistentIdGenerator"
p:uniqueTicketIdGeneratorsForService-ref="uniqueIdGeneratorsMap" />
配置使用了spring2.0的xsd。CentralAuthenticationServiceImpl有一个属性叫uniqueTicketIdGeneratorsForService,它是一个map对象
它的key值是所有实现org.jasig.cas.authentication.principal.Service接口的类名,用于保存Principal对象和进行单点登出回调
application server时使用 value值为org.jasig.cas.util.DefaultUniqueTicketIdGenerator对象,用于生成唯一的TGC ticket。
该属性引用的uniqueIdGeneratorsMap bean在uniqueIdGenerators.xml配置文件中。
<util:map id="uniqueIdGeneratorsMap">
<entry
key="org.jasig.cas.authentication.principal.SimpleWebApplicationServiceImpl"
value-ref="serviceTicketUniqueIdGenerator" />
<entry
key="org.jasig.cas.support.openid.authentication.principal.OpenIdService"
value-ref="serviceTicketUniqueIdGenerator" />
<entry
key="org.jasig.cas.authentication.principal.SamlService"
value-ref="samlServiceTicketUniqueIdGenerator" />
<entry
key="org.jasig.cas.authentication.principal.GoogleAccountsService"
value-ref="serviceTicketUniqueIdGenerator" />
</util:map>
那CentralAuthenticationServiceImpl是怎么调用的呢?
我们跟踪一下代码,在创建ticket的方法 public String createTicketGrantingTicket(final Credentials credentials)中
可以找到以下这样一段代码:
1 //创建 TicketGrantingTicketImpl 实例
2 final TicketGrantingTicket ticketGrantingTicket = new TicketGrantingTicketImpl(
3 this.ticketGrantingTicketUniqueTicketIdGenerator
4 .getNewTicketId(TicketGrantingTicket.PREFIX),
5 authentication, this.ticketGrantingTicketExpirationPolicy);
6 //并把该对象保存到 ticketRegistry中
7 this.ticketRegistry.addTicket(ticketGrantingTicket);
上面的代码,看到ticketRegistry对象保存了创建的TicketGrantingTicketImpl对象,下面我们看一下当ticket销毁的时候,会做什么
事情,代码如下:
1 public void destroyTicketGrantingTicket(final String ticketGrantingTicketId) {
2 Assert.notNull(ticketGrantingTicketId);
3
4 if (log.isDebugEnabled()) {
5 log.debug("Removing ticket [" + ticketGrantingTicketId
6 + "] from registry.");
7 }
8 //从 ticketRegistry对象中,取得TicketGrantingTicket对象
9 final TicketGrantingTicket ticket = (TicketGrantingTicket) this.ticketRegistry
10 .getTicket(ticketGrantingTicketId, TicketGrantingTicket.class);
11
12 if (ticket == null) {
13 return;
14 }
15
16 if (log.isDebugEnabled()) {
17 log.debug("Ticket found. Expiring and then deleting.");
18 }
19 ticket.expire();//调用expire()方法,让ticket过期失效
20 this.ticketRegistry.deleteTicket(ticketGrantingTicketId);//从ticketRegistry中删除的ticket 对象
21 }
我们看到,它是从ticketRegistry对象中取得TicketGrantingTicket对象后,调用expire方法。接下来,要关心的就是expire方法做什么事情
1 public synchronized void expire() {
2 this.expired.set(true);
3 logOutOfServices();
4 }
5
6 private void logOutOfServices() {
7 for (final Entry<String, Service> entry : this.services.entrySet()) {
8 entry.getValue().logOutOfService(entry.getKey());
9 }
10 }
从代码可以看到,它是遍历每个 Service对象,并执行logOutOfService方法,参数是String sessionIdentifier
现在我们可以对应中,它存放的Service就是在uniqueIdGeneratorsMap bean定义中的那些实现类
因为logOutOfService方法的实现,所有实现类都是由它们继承的抽象类AbstractWebApplicationService来实现,我们来看一下
AbstractWebApplicationService的logOutOfService方法,就可以最终找出,实现single sign out的真正实现代码,下面是主要代码片段:
1 public synchronized boolean logOutOfService(final String sessionIdentifier) { 2 if (this.loggedOutAlready) { 3 return true; 4 } 5 6 LOG.debug("Sending logout request for: " + getId()); 7 //组装 logoutRequest参数内容 8 final String logoutRequest = "<samlp:LogoutRequest xmlns:samlp=\"urn:oasis:names:tc:SAML:2.0:protocol\" ID=\"" 9 + GENERATOR.getNewTicketId("LR") 10 + "\" Version=\"2.0\" IssueInstant=\"" + SamlUtils.getCurrentDateAndTime() 11 + "\"><saml:NameID 12 13 xmlns:saml=\"urn:oasis:names:tc:SAML:2.0:assertion\">@NOT_USED@</saml:NameID><samlp:SessionIndex>" 14 + sessionIdentifier + "</samlp:SessionIndex></samlp:LogoutRequest>"; 15 16 this.loggedOutAlready = true; 17 //回调所有的application,getOriginalUrl()是取得回调的application url 18 if (this.httpClient != null) { 19 return this.httpClient.sendMessageToEndPoint(getOriginalUrl(), logoutRequest); 20 } 21 22 return false; 23 }
至此,已经通过源代码把 CAS实现 single sign out的实现原理和方法完整叙述了一遍,希望对CAS感兴趣的朋友有所帮忙,
如果有什么问题也希望大家提出和指正。
注明 此源文转自http://www.blogjava.net/xmatthew/archive/2008/07/09/213808.html
发表评论
-
[讨论]poi jxl 操作excel出报表
2007-04-19 18:39 4962最近学习java 通过poi jxl 等API 来操作Exce ... -
dbcp 连接数据库
2007-03-21 11:35 2138import org.apache.commons.poo ... -
用javascript的正则表达式来验证Email地址是否格式正确
2007-03-14 12:47 1625function CheckExists() { ... -
<select> 联动 ajax
2007-03-12 15:55 5044<!DOCTYPE HTML PUBLIC " ... -
按指定的字符把字符串分割为字符串数组
2006-11-03 14:43 2348public static String[] splitS ... -
JavaScript中函数参数的传递问题
2006-10-23 10:22 5193JavaScript中函数参数的传递问题 <Sc ... -
Java基础
2006-10-20 15:34 1441一、Java基础方面 1、作用域public,private ... -
验证码机制实现
2006-10-05 12:11 7502我们经常在登陆一些网站的时候,要求输入显示的验证码,而且验证码 ... -
Jbuilder2006中JDK的设置
2006-10-05 12:09 3004Jbuilder2006自带了1.5的JDK,但如果你还想继续 ... -
html radio框
2006-10-05 12:08 5181在显示的明细一览,每一行前面加一个radio框,让用户选择哪个 ... -
一个可一输入的Select(select和text组合)
2006-09-30 14:26 3203<HTML> <HEAD> < ... -
数值转换 double型
2006-09-29 09:10 1275从集合集合中取值转换成double new Double(( ... -
获得一组checkbox的值
2006-09-29 09:05 3791html: <form name="fo ...
相关推荐
标题中的“cas单点登出的3个类”指的是在CAS(Central Authentication Service)系统中实现单点登出功能所涉及的关键组件。CAS是一个开源的身份验证框架,它提供了单点登录(Single Sign-On, SSO)功能,允许用户...
当用户在任一系统中登出时,希望在所有关联系统中同时登出,这就是所谓的“单点登出”(Single Sign-Out, SSO)。接下来,我们将详细探讨CAS单点登出的原理。 首先,理解SSO的基本流程: 1. 用户打开一个受CAS保护...
通过阅读源码,我们可以理解如何处理认证请求,生成和验证票据,以及如何实现单点登出(Single Sign-Out,SSO)功能。 **工具应用** 在实际部署中,开发者可以利用CAS提供的工具和配置文件来搭建CAS服务器。例如,...
标题中的“CAS实现单点登录,登出(Java和PHP客户端)”指的是使用中央认证服务(Central Authentication Service,简称CAS)来构建一个跨域、跨平台的单点登录(Single Sign-On, SSO)系统。在这样的系统中,用户只...
2. **单点登出过滤器配置**:为了实现单点登出功能,应用服务器需要配置特定的过滤器——`SingleSignOutFilter`。在Web应用的`web.xml`文件中加入如下配置: ```xml <filter-name>CASSingleSignOutFilter ...
本文将详细介绍如何利用 CAS(Central Authentication Service)协议来实现 Mantis 的单点登录和登出功能。 #### 实现步骤 ##### 第一步:环境准备 1. **安装 CAS 服务器**:确保 CAS 服务器已经部署完成,并且...
单点登录(Single Sign-On,简称SSO)是一种在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的技术。它为用户提供了一种方便、高效的访问多系统的方式,同时减少了用户记住多个用户名和密码...
单点登出(Single Sign-Out,SSO)功能则涉及到清理所有已登录应用的会话,确保用户在一处登出时,所有关联的系统也会同步登出。Cas 提供了两种登出模式:前端通道(Front Channel)和后端通道(Back Channel)。...
CAS(Central Authentication Service)是一种广泛使用的开放源码的单点登录(Single Sign-On,简称SSO)框架,它为各种应用程序提供了统一的认证服务。在本文中,我们将深入探讨如何利用CAS实现单点登录功能,这将...
* 单点登出过滤器:org.jasig.cas.client.session.SingleSignOutFilter * 认证过滤器:org.jasig.cas.client.authentication.AuthenticationFilter * Ticket校验过滤器:org.jasig.cas.client.validation.Cas20...
8. **单点登出(Single Sign-Out,SSO)**:除了单点登录,CAS还提供了单点登出功能,允许用户在一处登出后,自动从所有已登录的应用中注销。 9. **自定义扩展**:CAS设计为高度可扩展,允许开发人员根据需求定制...
- 配置`SingleSignOutFilter`以支持CAS的单点登出功能,当用户在一个应用中登出时,其他所有已登录的应用也会同步登出。 - `SingleSignOutHttpSessionListener`是一个监听器,用于监听Session事件,配合`Single...
CAS(Central Authentication Service)是基于Java开发的一种开源的单点登录(Single Sign-On,简称SSO)协议。在.NET环境中,我们可以通过实现CAS客户端来实现单点登录功能。本示例将详细介绍如何在.NET项目中集成...
7. **退出机制**:实现单点登出(Single Sign-Out,SSO)功能,当用户在一个应用系统中登出时,可以通知CAS服务器撤销TGT,从而影响所有已登录的应用系统。 8. **安全性考虑**:为了保障系统的安全性,应设置合理的...
CAS(Central Authentication Service)是基于Java的开源身份验证框架,用于实现单一登录(Single Sign-On,简称SSO)。SSO允许用户在一次登录后访问多个应用程序,而无需为每个服务单独进行身份验证。这个压缩包...
CAS(Central Authentication Service)是基于Java的一个开源身份验证框架,常用于实现单点登录(Single Sign-On, SSO)。在本文中,我们将深入探讨如何进行CAS客户端集成,以实现单点登录的登录登出功能。 单点...
单点登录(Single Sign-On,简称SSO)是一种在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统的技术。在这个例子中,我们基于Spring MVC、Maven、WebService和Memcached来实现一个功能完善的...