《CAS实现SSO的原理和方法简介.docVIP

CAS实现 的原理和方法解一下cas 实现single sign out的原理，如图所示： ??????????????????????????????????????? 图一演示了单点登陆的工作原理。当一个web浏览器登录到应用服务器时，应用服务器(application)会检测用户的session，如果没有session，则应用服务器会把url跳转到CAS server上，要求用户登录,用户登录成功后，CAS server会记请求的application的url和该用户的sessionId(在应用服务器跳转url时，通过参数传给CAS server)。此时在CAS服务器会种下TGC Cookie值到webbrowser.拥有该TGC Cookie的webbrowser可以无需登录进入所有建立sso服务的应用服务器application。??????????????????????????????????? 图二演示了单点登出的工作原理。当一个web浏览器要求登退应用服务器，应用服务器(application)会把url跳转到CAS server上的 /cas/logout url资源上，CAS server接受请求后，会检测用户的TCG Cookie，把对应的session清除，同时会找到所有通过该TGC sso登录的应用服务器URL提交请求,所有的回调请求中，包含一个参数logoutRequest,内容格式如下： samlp:LogoutRequest?ID=[RANDOM?ID]?Version=2.0?IssueInstant=[CURRENT?DATE/TIME]saml:NameID@NOT_USED@/saml:NameIDsamlp:SessionIndex[SESSION?IDENTIFIER]/samlp:SessionIndex/samlp:LogoutRequest所有收到请求的应用服务器application会解析这个参数，取得sessionId，根据这个Id取得session后，把session删除。这样就实现单点登出的功能。结合源代码来讲述一下内部的代码怎么实现的首先，要实现在 应用服务器application端的web.xml要加入以下配置 filter???filter-nameCAS?Single?Sign?Out?Filter/filter-name???filter-classorg.jasig.cas.client.session.SingleSignOutFilter/filter-class/filterfilter-mapping???filter-nameCAS?Single?Sign?Out?Filter/filter-name???url-pattern/*/url-pattern/filter-mappinglistener????listener-classorg.jasig.cas.client.session.SingleSignOutHttpSessionListener/listener-class/listener注：如果有配置CAS client Filter,则CAS Single Sign Out Filter 必须要放到CAS client Filter之前。配置部分的目的是在CAS server回调所有的application进行单点登出操作的时候，需要这个filter来实现session清楚。主要代码如下:org.jasig.cas.client.session.SingleSignOutFilter public?void?doFilter(final?ServletRequest?servletRequest,?final?ServletResponse?servletResponse,?final?FilterChain??filterChain)?throws?IOException,?ServletException?{?????????final?HttpServletRequest?request?=?(HttpServletRequest)?servletRequest;????????????if?(POST.equals(request.getMethod()))?{??????????????final?String?logoutRequest?=?request.getParameter(logoutRequest);???????????????if?(CommonUtils.isNotBlank(logoutRequest))?{????????