你的位置:首页 > Java教程

[Java教程]基于CAS的SSO单点登录


先补课,以下网址可以把CAS环境搭起来。

【JA-SIG CAS服务环境搭建】http://linliangyi2007.iteye.com/blog/165307

【JA-SIG CAS业务架构介绍】http://linliangyi2007.iteye.com/blog/165310

【JA-SIG CAS技术框架】http://linliangyi2007.iteye.com/blog/165313

【抓包分析】http://blog.csdn.net/clh604/article/details/20365967

 

【问题背景】两个系统的整合就不说了,简单来说就是网页放在NginX上,但是ajax调用tomcat的API获取数据,其中tomcat段用CAS做身份认证。具体使用的是org.jasig.cas.client,配置会略有不同就不展开了。

 

【问题描述】ajax调用不允许跨域访问,如果在该容器中未CAS登陆(没有ticket)则会遇到以下错误。

【非ajax请求具体的跳转请求】就是标准的跳转,不上图了:

请求1:http访问tomcat。结果:302重定向指向CAS服务器

请求2:访问CAS服务器,带上CASTGC。结果:302重定向指向tomcat并带上ticket

请求3:访问tomcat,带上ticket。结果:200返回资源

【ajax请求具体的跳转请求】:

请求1:ajax访问tomcat。结果:302重定向指向CAS服务器

请求2:访问CAS服务器,带上CASTGC。结果:200返回无内容,浏览器提示错误(chrome)

跨域访问规则Access-Control-Allow-Origin是在CAS服务器配置的,项目无法更改。

 

【参考的解决方法】

a.在session超时的情况下发ajax请求。返回200正常,并在json中指定状态码302和login.action地址

b.访问login.action。302重定向指向CAS服务器

c.访问CAS服务器登录授权。302重定向回login.action

d.访问login.action带有ticket。302重定向next_page(即一开始ajax请求的页)

e.访问next_page刷新整个页

 

【具体解决过程】

1.修改CAS授权过滤器,session无效的ajax请求先返回200正常,并在json中指定业务错误码session_lost

继承修改AuthenticationFilter的doFilter方法:

a.如果session中有assertion,通过,进入下一层(tomcat端向CAS服务器验证ticket)

b.(无assertion)如果有ticket,通过,进入下一层filter(tomcat端向CAS服务器验证ticket)

c.(无assertion无ticket)普通http请求,重定向到CAS服务器

d.(无assertion无ticket)ajax请求,返回200并在json中指定session_lost

e.改配置web.

2.在js的callback中处理session_lost,将网址定位到/login.action

window.location.href=/app/login.action

3.在java的/autoLogin中重新登录并根据参数next_page重定向,完成登录和刷新

(因为是普通http请求,会先跳转到CAS登录,回来建立session信息,然后再跳转到用户本来的页面)

 

【其中一些细节问题】

a.通过检查请求头的"X-Requested-With"为"

b./login.action中要判断nextpage避免指向自己,若"/login.action?nextpage=/login.action"会导致死循环,爆栈很欢乐~

c.几种跳转方式的区分

request.getRequestDispatcher(str).forward(request, response);---服务器内部跳转,路径从应用开始算,即"/"等效于 "http://域名/应用/"response.sendRedirect(str);---浏览器端302重定向,参数为完整地址。@Controller实例的方法中的return str;---服务器内部加载页面,路径从应用开始算。@Controller实例的方法中的return "redirect:/";---浏览器端302重定向,但是路径从应用开始算。浏览器端js中window.location.href---浏览器本窗口打开页面,路径从域名后开始计算,即"/"等效于 "http://域名/"

完事,可以ajax随便愉快玩耍了~