2. 程式人生 > >SSO單點登入系列6:cas單點登入防止登出退出後重新整理後退ticket失效報500錯

SSO單點登入系列6:cas單點登入防止登出退出後重新整理後退ticket失效報500錯

阿新 發佈:2019-01-24

這個問題之前就發現過,最近有幾個哥們一直在問我這個怎麼搞,我手上在做另一個專案,cas就暫時擱淺了幾周。現在我們來一起改一下你的應用(client2/3)的web.xml來解決這個2b問題,首先看下錯誤描述:

問題: 我登入了client2,又登入了client3,現在我把client2退出了,在client3裡面我F5重新整理了一下,結果頁面報錯:

未能夠識別出目標 'ST-41-2VcnVMguCDWJX5zHaaaD-cas01.example.org'票根

type Exception report

message org.jasig.cas.client.validation.TicketValidationException:

description The server encountered an internal error that prevented it from fulfilling this request.

exception

javax.servlet.ServletException: org.jasig.cas.client.validation.TicketValidationException: 
		鏈兘澶熻瘑鍒嚭鐩爣 'ST-41-2VcnVMguCDWJX5zHaaaD-cas01.example.org'紲ㄦ牴
	
	org.jasig.cas.client.validation.AbstractTicketValidationFilter.doFilter(AbstractTicketValidationFilter.java:155)
	org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:99)
	org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:96)
	org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:76)
root cause

org.jasig.cas.client.validation.TicketValidationException: 
		鏈兘澶熻瘑鍒嚭鐩爣 'ST-41-2VcnVMguCDWJX5zHaaaD-cas01.example.org'紲ㄦ牴
	
	org.jasig.cas.client.validation.Cas20ServiceTicketValidator.parseResponseFromServer(Cas20ServiceTicketValidator.java:73)
	org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:188)
	org.jasig.cas.client.validation.AbstractTicketValidationFilter.doFilter(AbstractTicketValidationFilter.java:132)
	org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:99)
	org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:96)
	org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:76)
note The full stack trace of the root cause is available in the Apache Tomcat/7.0.37 logs.


猜都能猜出來,我登出了,ticket已經失效了,現在我又發回到server端,它就報錯了。(客戶端發過去就報錯了),以下就是cas ticket失效處理的一個很簡單的解決辦法,複雜的話,需要修改client原始碼進行異常處理。

1.所以針對這個情況,我只能在web.xml中下手了,(你也可以修改客戶端的jar包中的一些java類,自己去做這個異常處理,接收所有在cas使用過程中會出錯的處理,全部跳轉到錯誤頁面中,讓掉線的人重新登入。在這裡,我們採用web.xml配置一下)

2.這是官網解釋:https://wiki.jasig.org/display/CASC/Configuring+the+Jasig+CAS+Client+for+Java+in+the+web.xml 它的解釋:

The correct order of the filters in web.xml is necessary:

  1. AuthenticationFilter
  2. TicketValidationFilter (whichever one is chosen)
  3. HttpServletRequestWrapperFilter
  4. AssertionThreadLocalFilter
意思是說,過濾器鏈不要錯,我之前的那篇教程裡cas客戶端配置web.xml沒有使用這幾個過濾器,現在我們重新使用它。

3.這是一個哥們之前解釋的:我貼出來。

單點登出,客戶端配置。我嘗試使用SAML作為認證和Ticket校驗,但是除錯時發現單點登出取標識的方式只能識別CAS的認證和校驗。


認證:org.jasig.cas.client.authentication.AuthenticationFilter
校驗:org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
過濾器順序:
1. CAS Single Sign Out Filter
2. CAS Validation Filter
3. CAS Authentication Filter
4. CAS HttpServletRequest Wrapper Filter
5. CAS Assertion Thread Local Filter
特別注意Validation在Authentication之前,因為我使用的是Cas20ProxyReceivingTicketValidationFilter。根據CAS文件描述:If you are using proxy validation, you should map the validation filter before the authentication filter.

4.ok,放上我的web.xml檔案,廢掉之前的cas驗證過濾器(CAS Filter)。使用另一個過濾器(CAS Authentication Filter),並且增加另外三個過濾器(CAS Validation Filter,CAS HttpServletRequest Wrapper Filter,CAS Assertion Thread Local Filter),注意過濾器的順序.

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="2.5"
    xsi:schemaLocation="http://java.sun.com/xml/ns/javaee   http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

    <!-- 解決中文亂碼問題 -->
    <filter>
        <filter-name>spring filter</filter-name>
        <filter-class>
			org.springframework.web.filter.CharacterEncodingFilter
        </filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>UTF-8</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>spring filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <!-- 解決中文亂碼問題 -->


    <!--1.用於單點退出 -->
    <listener>
        <listener-class>
			org.jasig.cas.client.session.SingleSignOutHttpSessionListener
        </listener-class>
    </listener>

    <filter>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <filter-class>
			org.jasig.cas.client.session.SingleSignOutFilter
        </filter-class>
    </filter>

    <filter-mapping>
        <filter-name>CAS Single Sign Out Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>



    <!--2.負責Ticket校驗-->
    <filter>
        <filter-name>CAS Validation Filter</filter-name>
        <filter-class>
			org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter
        </filter-class>
        <init-param>
            <param-name>casServerUrlPrefix</param-name>
            <param-value>
				http://192.168.168.141:8080/casServer
            </param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>192.168.168.141:8080</param-value>
        </init-param>
        <init-param>
            <param-name>useSession</param-name>
            <param-value>true</param-value>
        </init-param>

        <init-param>
            <param-name>exceptionOnValidationFailure</param-name>
            <param-value>false</param-value>
        </init-param>

        <init-param>
            <param-name>redirectAfterValidation</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>CAS Validation Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!-- 3. 單點登入驗證 -->

    <filter>
        <filter-name>CAS Authentication Filter</filter-name>
        <filter-class>
			org.jasig.cas.client.authentication.AuthenticationFilter
        </filter-class>
        <init-param>
            <param-name>casServerLoginUrl</param-name>
            <param-value>
				http://192.168.168.141:8080/casServer/login
            </param-value>
        </init-param>
        <init-param>
            <param-name>serverName</param-name>
            <param-value>http://192.168.168.141:8080</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>CAS Authentication Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>



    <!-- 3.用於單點登入 去伺服器端認證(之前使用的這種)
            <filter>
            <filter-name>CAS Filter</filter-name>
            <filter-class>
            edu.yale.its.tp.cas.client.filter.CASFilter
            </filter-class>
            <init-param>
            <param-name>
            edu.yale.its.tp.cas.client.filter.loginUrl
            </param-name>
            <param-value>
            http://192.168.168.141:8080/casServer/login
            </param-value>
            </init-param>
            <init-param>
            <param-name>
            edu.yale.its.tp.cas.client.filter.validateUrl
            </param-name>
            <param-value>
            http://192.168.168.141:8080/casServer/serviceValidate
            </param-value>
            </init-param>
            <init-param>
            <param-name>
            edu.yale.its.tp.cas.client.filter.serverName
            </param-name>
            <param-value>192.168.168.141:8080</param-value>
            </init-param>
            </filter>
        -->


    <!--4.  CAS HttpServletRequest Wrapper Filter 這個是HttpServletRequet的包裹類,讓他支援getUserPrincipal,getRemoteUser方法來取得使用者資訊-->

    <filter>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <filter-class>
			org.jasig.cas.client.util.HttpServletRequestWrapperFilter
        </filter-class>
    </filter>

    <filter-mapping>
        <filter-name>CAS HttpServletRequest Wrapper Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>


    <!--5. CAS Assertion Thread Local Filter  這個類把Assertion資訊放在ThreadLocal變數中,這樣應用程式不在web層也能夠獲取到當前登入資訊-->

    <filter>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <filter-class>
			org.jasig.cas.client.util.AssertionThreadLocalFilter
        </filter-class>
    </filter>

    <filter-mapping>
        <filter-name>CAS Assertion Thread Local Filter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>


    <servlet>
        <servlet-name>Query</servlet-name>
        <servlet-class>servlet.Query</servlet-class>
    </servlet>

    <servlet-mapping>
        <servlet-name>Query</servlet-name>
        <url-pattern>/query</url-pattern>
    </servlet-mapping>

    <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
</web-app>

5.如果這樣做了,你還需要一件事情,就是前臺獲取使用者資訊的方式改了,我的index.jsp改成了這個: 
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%@page import="edu.yale.its.tp.cas.client.filter.CASFilter"%>
<%@page import="org.jasig.cas.client.util.AssertionThreadLocalFilter"%>
<%@page import="org.jasig.cas.client.util.HttpServletRequestWrapperFilter"%>
<%@page import="org.jasig.cas.client.authentication.AttributePrincipal"%>
<%@page import="org.jasig.cas.client.util.AbstractCasFilter"%>
<%@page import="org.jasig.cas.client.validation.Assertion"%>


<body>

		<h1>
			登入成功,這是客戶端2
		</h1>
		<br />

		歡迎您:

		<%
		    //String username = (String) session.getAttribute(CASFilter.CAS_FILTER_USER);
            //String username2 = (String)AssertionHolder.getAssertion().getPrincipal().getName();
            String username = "";
             AttributePrincipal principal = (AttributePrincipal) request.getUserPrincipal();
             if(principal != null){
               username = principal.getName();//獲取使用者名稱
             }
            
         
            
		%>
		使用者名稱:<%=username%>

ok,我的應用之間如果一個退出,另一個就算帶ticket引數也不不再報錯了,就算是測試組的兄弟拿到那段ticket複製貼上到另一個瀏覽器中進行訪問,也不會報錯。

ps:

也有兄弟說可以通過修改C:\tomcat7\webapps\casServer\WEB-INF\spring-configuration\ticketExpirationPolicies.xml這個檔案中的

  <!-- Expiration policies -->
    <util:constant id="SECONDS" static-field="java.util.concurrent.TimeUnit.SECONDS"/>
    <bean id="serviceTicketExpirationPolicy" class="org.jasig.cas.ticket.support.MultiTimeUseOrTimeoutExpirationPolicy"
          c:numberOfUses="1" c:timeToKill="${st.timeToKillInSeconds:10}" c:timeUnit-ref="SECONDS"/>
其中那個

 c:numberOfUses="1" //使用ticket多少次

 c:timeToKill="${st.timeToKillInSeconds:10}" //多少秒過期,預設10秒,你把這個改成10分鐘玩玩。

落雨

 2013年7月26日13:37:05

相關推薦

SSO登入系列6cas登入防止登出退出重新整理後退ticket失效500

這個問題之前就發現過,最近有幾個哥們一直在問我這個怎麼搞,我手上在做另一個專案,cas就暫時擱淺了幾周。現在我們來一起改一下你的應用(client2/3)的web.xml來解決這個2b問題,首先看下錯誤描述: 問題: 我登入了client2,又登入了client3,現在我把

SSO登入系列5cas登入增加驗證碼功能完整步驟

本篇教程cas-server端下載地址:解壓後,直接放到tomcat的webapp目錄下就能用了,不過你需要登入的話,要修改資料來源,C:\tomcat7\webapps\casServer\WEB-INF\deployerConfigContext.xml,嗯。地址

SSO登入系列3cas-server端配置認證方式實踐(資料來源+自定義java類認證)

所有下載資料+源程式地址:本文最下方。一定注意配置,不會配置的可以聯絡我。 落雨 cas 單點登入 本篇將講解cas-server端的認證方式 1.最簡單的認證,使用者名稱和密碼一致就登入成功 2.配置oracle的jdbc資料來源,通過spring動態查

C#開發BIMFACE系列21 服務端API之獲取模型資料6獲取模型的樓層資訊

系列目錄     【已更新最新開發文章,點選檢視詳細】 一個檔案/模型中可能包含多個樓層資訊,獲取樓層資訊對於前端頁面的動態展示非常有幫助。本篇介紹獲取一個檔案/模型中可能包含多個樓層資訊的詳細方法。 請求地址:GET https://api.bimface.com

Azure手把手系列6存儲服務介紹

雲計算 雲平臺 在使用Azure的過程中,在大多數情況下我們都會使用到存儲服務,對於虛擬機來說就是我們的磁盤存儲。Azure對於存儲來說是劃分的非常全面和細致的,在使用各種存儲服務之前我們需要創建存儲帳戶,然後即可將數據傳入/傳出該存儲帳戶中的特定服務。 ? ?首先,我們來看下Azure提供了什麽類型

“數據治理那事”系列之一那些年我們一起踩過的坑

分享 加工 可視化 原則 流程 自動化 影響 發揮 業務 這是一個系列文章,沈澱了我在數據治理領域的一些實踐和思考。共分為5篇: · 數據治理:那些年,我們一起踩過的坑 主要講講數據治理工作中常見的一些誤區。 · 要打仗你手裏先得有張地圖:元數據管理 這一篇講講元數據的概念

CAS原始碼追蹤系列cas-server端對請求的處理

目錄 InitialFlowSetupAction ServiceAuthorizationCheck AuthenticationViaFormAction SendTicketGrantingTicketAction GenerateServiceTicketAction 第一

maplab系列6lightweight_filtering之state

class ElementBase ElementBase是所有可更新的變數的基類。 需要傳入一個模板類DERIVED, ElementBase繼承於這個模板類。比如傳入一個Eigen的Matrix,那麼ElementBase就是一個Matrix。 D_是變數的長度,

Go基礎系列(6)細說slice結構

slice表示切片(分片),例如對一個數組進行切片,取出陣列中的一部分值。在現代程式語言中,slice(切片)幾乎成為一種必備特性,它可以從一個數組(列表)中取出任意長度的子陣列(列表),為操作資料結構帶來非常大的便利性,如python、perl等都支援對陣列的slice操作,甚至perl還支援對hash資料

docker容器技術系列6docker 網路名稱空間找不到

問題: 建立docker swarm集群后,準備分析其網路架構。在Manager node上找到了相關的network命令空間(ip netns命令),但是worker node卻沒有,導致找不到對應的虛擬網絡卡。如下圖所示: 網絡卡veth0bf6865的對端介面索

Python之Windows控制元件操作系列模擬滑鼠

模擬滑鼠點選指定視窗中的指定button: import win32gui,win32api win = win32gui.FindWindow(None,DialogName) while win == 0:     win = win32gui.FindWindow(None,DialogName

企慧Q5快速開發平臺系列之一生成

企慧Q5快速開發平臺,以下簡稱Q5,真正實現了“快速”二字!本系列開篇介紹Q5的表單生成功能,注意是表單“生成”而非“設計”,這是Q5和其他平臺的典型差異。舉個例子,先看如下表單:銷售訂單 包含訂單表頭,訂單(合同)明細,按鈕包括 稽核,稽核日誌,儲存,儲

Spring-boot系列(6)整合fastjson訊息檢視配置

通過fashjson訊息檢視配置可以控制json返回的情況,例如:資料該欄位為空,返回前端值預設是null,可以使用WriteNullListAsEmpty 改為”“。 springboot整合 在原來專案上增加 依賴 <!--引入fastj

夯實Java基礎系列6一文搞懂抽象類和介面,從基礎到面試題,揭祕其本質區別!

目錄 抽象類介紹 為什麼要用抽象類 一個抽象類小故事 一個抽象類小遊戲 介面介紹 介面與類相似點: 介面與類的區別: 介面特性 抽象類和介面的區別 介面的使用: 介面最佳實踐:設計模式中的工廠模式 介面與抽象類的本質區別是什麼? 基本語法區別 設計思想區別 如何回答面試題:介面和抽象類的區別?

Java基礎系列6深入理解Java異常體系

該系列博文會告訴你如何從入門到進階,一步步地學習Java基礎知識,並上手進行實戰,接著瞭解每個Java知識點背後的實現原理,更完整地瞭解整個Java技術體系,形成自己的知識框架。   前言: Java的基本理念是“結構不佳的程式碼不能執行”。 “異常”這個詞有“我對此感到意外”的意思。問題出現了,你

廣告行業中那些趣事系列6BERT線上化ALBERT優化原理及專案實踐(附github)

摘要:BERT因為效果好和適用範圍廣兩大優點,所以在NLP領域具有里程碑意義。實際專案中主要使用BERT來做文字分類任務,其實就是給文字打標籤。因為原生態BERT預訓練模型動輒幾百兆甚至上千兆的大小,模型訓練速度非常慢,對於BERT模型線上化非常不友好。本篇研究目前比較火的BERT最新派生產品ALBE

關於Fatal error in launcher: Unable to create process using '"'

環境介紹:本人的python27版本,作業系統為:win7 32位的 首先:在輸入pip list 後系統提示為:Fatal error in launcher: Unable to create process using '"' 其次:cmd進入到dos介面,找到python27的安裝路

基於CAS實現登入SSOCAS+LDAP實現登入認證

[一]、概述 CAS是N個系統的中心認證入口,而貫穿多個系統的使用者資訊是共用的,應該被單獨維護,而這些資訊可能屬於不用的系統,不用的組織,不用的國家,從而形成了樹形結構,而使用關係型資料庫維護樹形結構資訊是它的弱點,這就是本文CAS和LDAP整合的初衷。 本來主要

SSO(Single Sign On)系列(三)--CAS登入

上篇文章介紹了SSO的原理以及5種基本流程,相信看完了之後不難理解單點登入,而CAS是SSO的一種實現方案,原理是一樣的。下面介紹一下。 CAS Server:負責完成對使用者的認證工作,需要獨立部署,CAS Server會處理使用者名稱/密碼等憑證。 CAS Client:負責處理對客戶端受保護資源的

SSO CAS登入搭建詳細步驟及原始碼

1.因為是本地模擬sso環境,而sso的環境測試需要域名,所以需要虛擬幾個域名出來,步驟如下: 2.進入目錄C:\Windows\System32\drivers\etc 3.修改hosts檔案 127.0.0.1  jeesz.cn 127.0.0.1  sso1.