在shiro-cas中實現 Jasig-cas的Single Sign Out 功能

1 Single Sign Out 功能

即單點登出功能。也就是在任意子系統進行登出操作后，其他子系統會自動登出。

實際CAS登出的步驟為

 

所以每個子系統都需要實現一個sso登出響應。

cas-client-core包中有Single Sign Out的Session容器實現。

具體在包 org.jasig.cas.client.session 中。

 

2 實現Shiro的SSO登出功能

1 實現CasSecurityManager

主要目的是為了在登陸成功后保存 ST票據，並與 Shiro的sessionId進行關系映射。

/**
 * 安全管理中心。<br>
 * 主要目的是保存session和ticket之間的關系。
 * @author Weicl
 * @since 2016.4.25
 */
public class CasSecurityManager extends DefaultWebSecurityManager{
    
    Logger logger = LoggerFactory.getLogger(getClass());
    
    @Override
    protected void onSuccessfulLogin(AuthenticationToken token,
            AuthenticationInfo info, Subject subject) {
        
        if (token instanceof CasToken) {
            logger.info("save token info: " + token.getCredentials() + " -> " + subject.getSession(false).getId());
            SsoUtils.putTokenCache((String)token.getCredentials(), subject.getSession(false).getId());
            subject.getSession(false).setAttribute("_serviceTicket_", token.getCredentials());
        }
        
        super.onSuccessfulLogin(token, info, subject);
    }
}

PS: SsoUtils的putTokenCache。可以用ehcache或HashMap實現，其實沒關系。

 

2 實現LogoutSloFilter

這個攔截器用來處理sso登出請求。

/**
 * 單點登出處理
 * @author Weicl
 * @since 2016.4.25
 */
public class LogoutSloFilter extends AdviceFilter{
    private final Logger logger = LoggerFactory.getLogger(getClass());
    private final Pattern pattern = Pattern.compile("<samlp:SessionIndex>([^<]*)</samlp:SessionIndex>");
    
    @Autowired
    private NativeSessionManager nativeSessionManager;
    
    @Override
    protected boolean preHandle(ServletRequest request, ServletResponse response)
            throws Exception {
        
        
        try {
            String logoutRequest = request.getParameter("logoutRequest");
            String serviceTicket = extractServiceTicket(logoutRequest);
            
            logger.info(" slo serviceTicket : " + serviceTicket);
            
            String sessionId = (String)SsoUtils.getTokenCache(serviceTicket);
            nativeSessionManager.stop(new DefaultSessionKey(sessionId));
                        
        } catch (Exception e) {
            e.printStackTrace();
        }
        
        response.getWriter().write("OK");
        return false;
    }
    
    /**
     * 獲取登出請求中的Ticket
     * @param logoutRequest
     * @return
     */
    private String extractServiceTicket(String logoutRequest) {
        Matcher matcher = pattern.matcher(logoutRequest);
        if (matcher.find()) {
            return matcher.group(1);
        }
        return "";
    }
}

3 實現TicketSessionListener

這個類的作用是當session終止的時候，釋放 SsoUtil 中的tokenCache。因為應用的session不存在了，保存這個映射關系也沒有意義，而且浪費緩存空間。

/**
 * 票據及session監聽器
 * @author Weicl
 * @since 2016.4.25
 */
public class TicketSessionListener implements SessionListener{

    Logger logger = LoggerFactory.getLogger(getClass());

    @Override
    public void onStart(Session session) {
        
    }

    @Override
    public void onStop(Session session) {
        logger.info("===============================");
        logger.info("stop session:" + session.getId());
        
        String ticket = (String)session.getAttribute("_serviceTicket_");
        if (ticket != null) {
            logger.info("remove serviceTicket: " + ticket);
            SsoUtils.removeTokenCache(ticket);
        }
    }

    @Override
    public void onExpiration(Session session) {
        onStop(session);
    }
}

4 配置到spring中

一下為添加/修正的關鍵代碼。其他shiro的配置這邊就不貼出來了。

    <!-- Shiro權限過濾過濾器定義 -->
    <bean name="shiroFilterChainDefinitions" class="java.lang.String">
        <constructor-arg>
            <value>
                /static/** = anon
                /cas = cas
                /login = authc
                /logout = logout
                /logoutSlo = logoutSlo
                /** = user
            </value>
        </constructor-arg>
    </bean>

     <!-- 安全認證過濾器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="${cas.server.url}/login?service=${cas.project.url}${adminPath}/cas" />
        <!-- 
        <property name="loginUrl" value="${adminPath}/login" /> -->
        <property name="successUrl" value="${adminPath}/login" />
        <property name="filters">
            <map>
                <entry key="cas" value-ref="casFilter"/>
                <entry key="authc" value-ref="formAuthenticationFilter"/>
                <entry key="logout" value-ref="logoutFilter"></entry>
                <entry key="logoutSlo" value-ref="logoutSloFilter"></entry>
            </map>
        </property>
        <property name="filterChainDefinitions">
            <ref bean="shiroFilterChainDefinitions"/>
        </property>
    </bean>

    <bean id="logoutSloFilter" class="cn.xxxxxx.base.modules.sys.security.LogoutSloFilter">
    </bean>
    
    <!-- 定義Shiro安全管理配置 -->
    <bean id="securityManager" class="cn.xxxxxx.base.common.security.shiro.session.CasSecurityManager">
        <!-- <property name="realm" ref="systemAuthorizingRealm" /> -->
        <property name="realm" ref="systemCasRealm" />
        <property name="sessionManager" ref="sessionManager" />
        <property name="cacheManager" ref="shiroCacheManager" />
    </bean>