你的位置:首页 > Java教程

[Java教程]CAS服务器集群和客户端集群环境下的单点登录和单点注销解决方案

CAS的集群环境,包括CAS的客户应用是集群环境,以及CAS服务本身是集群环境这两种情况。在集群环境下使用CAS,要解决两个问题,一是单点退出(注销)时,CAS如何将退出请求正确转发到用户session所在的具体客户应用服务器,而不是转发到其他集群服务器上,二是解决CAS服务端集群环境下各种Ticket信息的共享。

  1. CAS集群部署


    由于CAS Server是一个Web应用,因此可部署在Tomcat等容器中。直接部署CAS集群并使用负载均衡配置后,由于每次访问的CAS Server不固定,会发生通行证丢失。

    解决方法:配置TOMCAT集群及Session复制,解决CAS Server Session复制。详细配置方法见"Nginx+Tomcat+Memcached集群"。

  2. CAS的Ticket信息共享


    当用户登录后,Ticket存储在CAS Server中,由于这部分数据未保存在Session中,仅靠TOMCAT Session复制无法解决问题。默认配置下,CAS Server使用org.jasig.cas.ticket.registry.DefaultTicketRegistry把Ticket数据保存在 HashMap中,因此多台CAS Server无法共享数据。导致用户登录及退出均存在问题。因此需要将Ticket信息进行共享存储,使多台CAS Server使用相同的存储区域管理Ticket。

    Ticket信息共享处理比较简单,就是将Ticket信息从原来的内存存储变为数据库存储。见"ticketRegistry.

    Redis方式源代码:RedisTicketRegistry.java

    Memcached方式源代码:MemCacheTicketRegistry.java

    这里需要注意的是:TGT和ST的超时时间最大只能设置为30天(即2592000秒),多1秒都不行。这是Memcached的特性。

  3. CAS单点注销


    根据CAS Server工作流程,当收到Logout请求后,CAS Server会删除自身存储的有关当前用户的所有Ticket票据,"问题二"的解决方法已经解决了多台CAS Server删除票据的问题。但随后从CAS Server会发起HTTP POST请求到应用服务器,该请求中具备"logoutRequest"标志,应用服务器的SingleSignOutFilter接收到该请求后在应用服务器端进行用户登出操作。该操作主要是将应用服务器端的CAS Client中保存的用户Session数据失效,达到客户端登出效果。即,对于CAS系统,必须Server端和Client均进行登出操作,用户才会真正登出。cas退出采用的是异步操作,客户端是否退出成功也不关心。

    CAS Server的这个工作流程,在应用集群部署的情况下带来一系列问题。由于应用服务器集群化,且一般会使用Session复制,当CAS Server向应用服务器发起Logout请求时,仅针对一台服务器发起请求,导致应用服务器没有全部退出,使得用户使用登出操作时,有时可以退出,有时不能退出,用户体验很差。

    解决方法:采用广播方式,将单台Tomcat收到的注销请求广播给集群环境下的所有节点,达到所有服务器都注销的效果。核心代码:DMGeoSSOClient中的CasSingleLogoutClusterFilter.java。

    配置方式,将DMGeoSSOClient工程下的lib目录下的jar包(servlet-api-2.3.jar除外)以及dist下的cas-client-core-3.1.3.jar包复制到集群环境所有Tomcat的lib目录,并修改所有tomcat的web.

    <filter>

         <filter-name>CAS SLO Cluster Filter</filter-name>

         <filter-class>org.esco.cas.client.CasSingleLogoutClusterFilter</filter-class>

         <init-param>

         <param-name>clientHostName</param-name>

         <param-value>127.0.0.1:8080</param-value>

         </init-param>

         <init-param>

         <param-name>peersUrls</param-name>

         <param-value>http://127.0.0.1:8080,http://127.0.0.1:8081</param-value>

         </init-param>

    </filter>

    clientHostName是本Tomcat的IP和端口,peersUrls是集群中所有节点的访问地址(格式为:协议://IP:端口,多个以","分隔),注意,这些IP地址和端口需要确保集群中所有的节点都能访问到。

    另外,在集群中的所有需要做单点登录的应用中,web.

    <filter-mapping>

         <filter-name>CAS SLO Cluster Filter</filter-name>

         <url-pattern>/*</url-pattern>

    </filter-mapping>

    注意:这个过滤器需要放在原单点注销的过滤器之前才有效。

  4. Nginx+Tomcat+Memcached集群(简)


    nginx配置:

    nginx.conf:

    upstream cluster {

        server 127.0.0.1:8080;

        server 127.0.0.1:8081;

    }

    proxy.conf:

    server {

    listen 8888;

    server_name 127.0.0.1;

    #access_log logs/access.log main;

     

        proxy_connect_timeout 60s;

        proxy_send_timeout 300s;

        proxy_read_timeout 300s;

        proxy_buffer_size 1024k;

        proxy_buffers 4 1024k;

        proxy_busy_buffers_size 1024k;

        proxy_temp_file_write_size 1024k;

        proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504 http_404;

        proxy_max_temp_file_size 1024m;

     

        location ~ ^/DMGeoPortal/ {

        proxy_pass http://cluster;

             proxy_set_header Host $host:$server_port;

             proxy_set_header X-Real-IP $remote_addr;

        proxy_set_header REMOTE-HOST $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

        location ~ ^/DMGeoSSO/ {

        proxy_pass http://cluster;

             proxy_set_header Host $host:$server_port;

             proxy_set_header X-Real-IP $remote_addr;

        proxy_set_header REMOTE-HOST $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

    }

    Tomcat配置:

    context.

    <Manager className="de.javakaffee.web.msm.MemcachedBackupSessionManager"

            memcachedNodes="n1:172.16.254.69:11211,n2:172.16.254.70:11211"

            sticky="false"

            sessionBackupAsync="false"

            sessionBackupTimeout="18000"

            transcoderFactory

            copyCollectionsForSerialization="false"

    />

    server.

    <Engine name="Catalina" defaultHost="localhost">

    注意:当sticky为false时,不需要配置jvmRoute属性,当sticky为true时,一定要配置jvmRoute属性,且集群中所有tomcat的jvmRoute属性均不一样。sticky的属性默认为true。在CAS服务器端集群和客户端集群环境下,需要将sticky配置为false,这样可以避免很多莫名其妙的session丢失问题。

    Sticky 模式:tomcat session 为 主session, memcached 为备 session。Request请求到来时, 从memcached加载备 session 到 tomcat (仅当tomcat jvmroute发生变化时,否则直接取tomcat session);Request请求结束时,将tomcat session更新至memcached,以达到主备同步之目的。下面是sticky模式时响应的流程图(图片来源网络):

     

    Non-Sticky模式:tomcat session 为 中转session, memcached1 为主 session,memcached 2 为备session。Request请求到来时,从memcached 2加载备 session 到 tomcat,(当 容器 中还是没有session 则从memcached1加载主 session 到 tomcat, 这种情况是只有一个memcached节点,或者有memcached1 出错时),Request请求结束时,将tomcat session更新至 主memcached1和备memcached2,并且清除tomcat session 。以达到主备同步之目的,如下是non-sticky模式的响应流程图:(图片来源网络)。

    requestUriIgnorePattern属性不要设置。否则在CAS服务器端集群和客户端集群环境下有很多问题(包括影响注销功能,不能完全注销),因为我们的单点登录是对所有的资源进行拦截的,不需要设置requestUriIgnorePattern(URL忽略)属性。

    集群中所有Tomcat的lib下新增的包:

    javolution-5.4.3.1.jar

    memcached-2.6.jar

    memcached-session-manager-1.5.1.jar

    memcached-session-manager-tc6-1.5.1.jar

    msm-javolution-serializer-1.5.1.jar

    msm-kryo-serializer-1.5.1.jar

    msm-serializer-benchmark-1.5.1.jar

    msm-xstream-serializer-1.5.1.jar

  5. Nginx+IIS+Memcached集群(简)


    nginx配置:

    nginx.conf:

    upstream dotnetcluster {

        server 127.0.0.1:80;

        server 127.0.0.1:81;

    }

    proxy.conf:

    server {

    listen 8888;

    server_name 127.0.0.1;

    #access_log logs/access.log main;

     

        proxy_connect_timeout 60s;

        proxy_send_timeout 300s;

        proxy_read_timeout 300s;

        proxy_buffer_size 1024k;

        proxy_buffers 4 1024k;

        proxy_busy_buffers_size 1024k;

        proxy_temp_file_write_size 1024k;

        proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504 http_404;

        proxy_max_temp_file_size 1024m;

     

        location ~ ^/DMGeoGlobeWeb/ {

        proxy_pass http://dotnetcluster;

             proxy_set_header Host $host:8888;

             proxy_set_header X-Real-IP $remote_addr;

        proxy_set_header REMOTE-HOST $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

        location ~ ^/DMGeoMIS/ {

        proxy_pass http://dotnetcluster;

             proxy_set_header Host $host:8888;

             proxy_set_header X-Real-IP $remote_addr;

        proxy_set_header REMOTE-HOST $remote_addr;

        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

    }

    }

    这里与Java应用稍有不同,注意上述红色加粗部分端口号的配置,该端口号是你最终访问集群服务器的端口号。

    IIS配置:

    将下列dll文件放在Web应用程序的bin目录:

    Enyim.Caching.dll

    MemcachedSessionProvider.dll

    修改Web应用程序的Web.config配置:

    <?

    <configuration>

    <configSections>

    <sectionGroup name="sessionManagement">

    <section name="memcached" type="Enyim.Caching.Configuration.MemcachedClientSection, Enyim.Caching" />

    </sectionGroup>

    </configSections>

     

    <sessionManagement>

    <memcached protocol="Binary">

    <servers>

    <!-- make sure you use the same ordering of nodes in every configuration you have -->

    <add address="172.16.254.69" port="11211" />

    <add address="172.16.254.70" port="11211" />

    </servers>

    <locator type="MemcachedSessionProvider.SessionNodeLocator, MemcachedSessionProvider" />

    </memcached>

    </sessionManagement>

    <system.web>

    <sessionState customProvider="Memcached" mode="Custom">

    <providers>

    <add name="Memcached" type="MemcachedSessionProvider.SessionProvider, MemcachedSessionProvider" />

    </providers>

    </sessionState>

    <machineKey validationKey="3A2122BF7DA69398B43FF26BD658CE428EC417BA" decryptionKey="5C90C7D3BE69792117E02AE72DDDAFBA853F5FDB3E57BC5C" decryption="3DES" validation="SHA1"/>

    </system.web>

    </configuration>

    上述红色加粗部分是新增的配置项。说明如下:

    sessionManagement:用来配置Memcached连接地址。

    sessionState:用将配置将Session存储在什么地方,这里配置的是自定义,即将Session存储在Memcached中。

    machineKey:这是比较关键的配置。如果我们的Web应用程序是在同一个IIS服务器上,用不同的端口来区分不同的网站应用,那么不需要配置machineKey;如果我们的Web应用程序是在不同的IIS服务器上,那么切记一定要配置machineKey。machineKey是对密钥进行配置,以便将其用于对 Forms 身份验证 Cookie 数据和视图状态数据进行加密和解密,并将其用于对进程外会话状态标识进行验证。默认情况下,Asp.Net的配置是自己动态生成,如果单台服务器当然没问题,但是如果多台服务器负载均衡,machineKey还采用动态生成的方式,每台服务器上的machinekey值不一致,就导致加密出来的结果也不一致,不能共享验证和 ViewState,所以对于多台服务器负载均衡的情况,一定要在每个站点配置相同的machineKey

    machineKey的生成算法如下:

    private static string CreateKey(int len)

    {

    byte[] bytes = new byte[len];

    new RNGCryptoServiceProvider().GetBytes(bytes);

    StringBuilder sb = new StringBuilder();

     

    for (int i = 0; i < bytes.Length; i++)

    {

    sb.Append(string.Format("{0:X2}", bytes[i]));

    }

     

    return sb.ToString();

    }

    调用:

    string validationKey = CreateKey(20);

    string decryptionKey = CreateKey(24);

    string machineKey = string.Format("<machineKey validationKey=\"{0}\" decryptionKey=\"{1}\" decryption=\"3DES\" validation=\"SHA1\"/>",validationKey, decryptionKey);