在shiro-cas中实现 Jasig-cas的Single Sign Out 功能
1 Single Sign Out 功能
即单点登出功能。也就是在任意子系统进行登出操作后,其他子系统会自动登出。
实际CAS登出的步骤为
所以每个子系统都需要实现一个sso登出响应。
cas-client-core包中有Single Sign Out的Session容器实现。
具体在包 org.jasig.cas.client.session 中。
2 实现Shiro的SSO登出功能
1 实现CasSecurityManager
主要目的是为了在登陆成功后保存 ST票据,并与 Shiro的sessionId进行关系映射。
/** * 安全管理中心。<br> * 主要目的是保存session和ticket之间的关系。 * @author Weicl * @since 2016.4.25 */ public class CasSecurityManager extends DefaultWebSecurityManager{ Logger logger = LoggerFactory.getLogger(getClass()); @Override protected void onSuccessfulLogin(AuthenticationToken token, AuthenticationInfo info, Subject subject) { if (token instanceof CasToken) { logger.info("save token info: " + token.getCredentials() + " -> " + subject.getSession(false).getId()); SsoUtils.putTokenCache((String)token.getCredentials(), subject.getSession(false).getId()); subject.getSession(false).setAttribute("_serviceTicket_", token.getCredentials()); } super.onSuccessfulLogin(token, info, subject); } }
PS: SsoUtils的putTokenCache。可以用ehcache或HashMap实现,其实没关系。
2 实现LogoutSloFilter
这个拦截器用来处理sso登出请求。
/** * 单点登出处理 * @author Weicl * @since 2016.4.25 */ public class LogoutSloFilter extends AdviceFilter{ private final Logger logger = LoggerFactory.getLogger(getClass()); private final Pattern pattern = Pattern.compile("<samlp:SessionIndex>([^<]*)</samlp:SessionIndex>"); @Autowired private NativeSessionManager nativeSessionManager; @Override protected boolean preHandle(ServletRequest request, ServletResponse response) throws Exception { try { String logoutRequest = request.getParameter("logoutRequest"); String serviceTicket = extractServiceTicket(logoutRequest); logger.info(" slo serviceTicket : " + serviceTicket); String sessionId = (String)SsoUtils.getTokenCache(serviceTicket); nativeSessionManager.stop(new DefaultSessionKey(sessionId)); } catch (Exception e) { e.printStackTrace(); } response.getWriter().write("OK"); return false; } /** * 获取登出请求中的Ticket * @param logoutRequest * @return */ private String extractServiceTicket(String logoutRequest) { Matcher matcher = pattern.matcher(logoutRequest); if (matcher.find()) { return matcher.group(1); } return ""; } }
3 实现TicketSessionListener
这个类的作用是当session终止的时候,释放 SsoUtil 中的tokenCache。因为应用的session不存在了,保存这个映射关系也没有意义,而且浪费缓存空间。
/** * 票据及session监听器 * @author Weicl * @since 2016.4.25 */ public class TicketSessionListener implements SessionListener{ Logger logger = LoggerFactory.getLogger(getClass()); @Override public void onStart(Session session) { } @Override public void onStop(Session session) { logger.info("==============================="); logger.info("stop session:" + session.getId()); String ticket = (String)session.getAttribute("_serviceTicket_"); if (ticket != null) { logger.info("remove serviceTicket: " + ticket); SsoUtils.removeTokenCache(ticket); } } @Override public void onExpiration(Session session) { onStop(session); } }
4 配置到spring中
一下为添加/修正的关键代码。其他shiro的配置这边就不贴出来了。
<!-- Shiro权限过滤过滤器定义 -->
<bean name="shiroFilterChainDefinitions" class="java.lang.String">
<constructor-arg>
<value>
/static/** = anon
/cas = cas
/login = authc
/logout = logout
/logoutSlo = logoutSlo
/** = user
</value>
</constructor-arg>
</bean>
<!-- 安全认证过滤器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="${cas.server.url}/login?service=${cas.project.url}${adminPath}/cas" />
<!--
<property name="loginUrl" value="${adminPath}/login" /> -->
<property name="successUrl" value="${adminPath}/login" />
<property name="filters">
<map>
<entry key="cas" value-ref="casFilter"/>
<entry key="authc" value-ref="formAuthenticationFilter"/>
<entry key="logout" value-ref="logoutFilter"></entry>
<entry key="logoutSlo" value-ref="logoutSloFilter"></entry>
</map>
</property>
<property name="filterChainDefinitions">
<ref bean="shiroFilterChainDefinitions"/>
</property>
</bean>
<bean id="logoutSloFilter" class="cn.xxxxxx.base.modules.sys.security.LogoutSloFilter">
</bean>
<!-- 定义Shiro安全管理配置 -->
<bean id="securityManager" class="cn.xxxxxx.base.common.security.shiro.session.CasSecurityManager">
<!-- <property name="realm" ref="systemAuthorizingRealm" /> -->
<property name="realm" ref="systemCasRealm" />
<property name="sessionManager" ref="sessionManager" />
<property name="cacheManager" ref="shiroCacheManager" />
</bean>
