注销登陆 清除缓存session CAS shiro redis

最新推荐文章于 2024-03-08 15:46:51 发布
最新推荐文章于 2024-03-08 15:46:51 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: spring-session SpringBoot redis 文章标签: session springboot cas shiro 注销
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bw1023627606/article/details/102974706
版权
这篇博客记录了在SpringBoot应用中集成CAS实现单点登录,以及如何使用Shiro进行权限管理。博主在集成过程中遇到了外系统与内嵌系统session不共享导致的注销问题,通过配置Shiro-CAS、RedisSessionConfig等解决了该问题,确保了用户登出时所有系统的session都能被正确清理。同时,文中提到了Redis集群的session管理,并分享了学习过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

内嵌系统注销,session统一注销,redis管理,单机与集群


     在项目中遇到了这么一个问题,在这里记录当时解决的方式
    出现的问题:系统内嵌系统,当时外系统注销用户后发现内嵌iframe的另一个系统没有退出登录,缓存仍然在,依然可以使用用户身份访问,外系统登陆另一个用户账号时,内嵌系统任然是上一次或第一次登陆的用户信息,导致用户信息不匹配和其它操作的漏洞。

    调试很多次,发现问题出在由于外系统和内嵌系统session不是一个session,没有做session共享注销时CAS会通知外系统下的所有子系统退出,由于内嵌系统session没有清除而致。

    解决过程:
配置文件:地址根据自己项目配置

# spring.redis
spring.redis.cluster.nodes=localhost:7001,localhost:7002,localhost:7003,localhost:7004,localhost:7005,localhost:7006
spring.redis.pool.max-active=300
spring.redis.database=0
spring.redis.pool.max-wait=-1
spring.redis.pool.max-idle=100
spring.redis.pool.min-idle=20
spring.redis.timeout=60000

# redis session
spring.session.store-type=redis
# spring.cas
spring.cas.cas-server-login-url = https://localhost:7443/cas/login
spring.cas.cas-server-url-prefix = https://localhost:7443/cas
spring.cas.server-name = http://localhost/web/index
shiro-cas.casServerUrlPrefix = https://local:7443/cas
shiro-cas.casLoginUrl = ${shiro-cas.casServerUrlPrefix}/login
shiro-cas.casLogoutUrl = ${shiro-cas.casServerUrlPrefix}/logout
shiro-cas.shiroServerUrlPrefix = 内嵌的地址
shiro-cas.casFilterUrlPattern = /cas
shiro-cas.logout = ${shiro-cas.shiroServerUrlPrefix}/logout
shiro-cas.logoutFilter = /logout
shiro-cas.loginUrl = ${shiro-cas.casLoginUrl}?service=${shiro-cas.shiroServerUrlPrefix}${shiro-cas.casFilterUrlPattern}
shiro-cas.logoutUrl = ${shiro-cas.casLogoutUrl}?service=${shiro-cas.casLoginUrl}?service=${shiro-cas.shiroServerUrlPrefix}${shiro-cas.casFilterUrlPattern}

原项目没接Shiro,只用CAS做单点,修改后,将cas的配置注释掉

//@Configuration
public class CasConfig {

重新使用shiro-cas。
pom文件 注释cas-client-core,新加shiro-spring,shiro-ehcache,shiro-cas

 <!--cas -->
        <!--<dependency>-->
            <!--<groupId>org.jasig.cas.client</groupId>-->
            <!--<artifactId>cas-client-core</artifactId>-->
            <!--<version>3.4.1</version>-->
        <!--</dependency>-->
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-spring</artifactId>
            <version>1.2.4</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-ehcache</artifactId>
            <version>1.2.4</version>
        </dependency>
        <dependency>
            <groupId>org.apache.shiro</groupId>
            <artifactId>shiro-cas</artifactId>
            <version>1.2.4</version>
        </dependency>

配置类:
1.CasShiroConfig CasShiro的配置文件,常用配置,以及拦截的请求规则

package com.demo;

import org.apache.shiro.cas.CasFilter;
import org.apache.shiro.cas.CasSubjectFactory;
import org.apache.shiro.spring.LifecycleBeanPostProcessor;
import org.apache.shiro.spring.security.interceptor.AuthorizationAttributeSourceAdvisor;
import org.apache.shiro.spring.web.ShiroFilterFactoryBean;
import org.apache.shiro.web.mgt.DefaultWebSecurityManager;
import org.jasig.cas.client.session.SingleSignOutHttpSessionListener;
import org.springframework.aop.framework.autoproxy.DefaultAdvisorAutoProxyCreator;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.boot.web.servlet.ServletListenerRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.filter.DelegatingFilterProxy;

import javax.servlet.Filter;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 *FILE : CasShiroConfig
 *DATE : 
 *AUTHOR 
 */

@Configuration
public class CasShiroConfig {
   

    @Autowired
    ShrioCasAutoconfig autoconfig;

    private String casFilterName = "casFilter";




    @Bean
    public MyShiroCasRealm myShiroCasRealm() {
   
        MyShiroCasRealm realm = new MyShiroCasRealm();

        realm.setCasServerUrlPrefix(autoconfig.getCasServerUrlPrefix());
        /**客户端回调地址**/
        realm.setCasService(autoconfig.getShiroServerUrlPrefix() + autoconfig.getCasFilterUrlPattern());
        return realm;
    }

    /**
     * 注册单点登出listener
     * @return
     */
    @SuppressWarnings({
    "rawtypes", "unchecked" })
    @Bean
    public ServletListenerRegistrationBean singleSignOutHttpSessionListener(){
   
        ServletListenerRegistrationBean bean = new ServletListenerRegistrationBean();
        bean.setListener(new SingleSignOutHttpSessionListener());
        bean.setEnabled(true);
        return bean;
    }

    /**
     * 注册单点登出filter
     * @return
     */
    @Bean
    public FilterRegistrationBean singleSignOutFilter(){
   
        FilterRegistrationBean bean = new FilterRegistrationBean();
        bean.setName("singleSignOutFilter");
        bean.setFilter(new SingleSignOutFilterExt());
        bean.addUrlPatterns("/*");
//        bean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        bean.setEnabled(true);

        return bean;
    }



    /**
     * 注册DelegatingFilterProxy(Shiro)
     *
     * @return
     * @author
     * @create  
     */
    @Bean
    public FilterRegistrationBean delegatingFilterProxy() {
   
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        filterRegistration.setFilter(new DelegatingFilterProxy("shiroFilter"));
        //  该值缺省为false,表示生命周期由SpringApplicationContext管理,设置为true则表示由ServletContainer管理
        filterRegistration.addInitParameter("targetFilterLifecycle", "true");
        filterRegistration.setEnabled(true);
        filterRegistration.addUrlPatterns("/*");
//        filterRegistration.setOrder(Integer.MAX_VALUE-10);
        return filterRegistration;
    }


    @Bean(name = "lifecycleBeanPostProcessor")
    public static LifecycleBeanPostProcessor getLifecycleBeanPostProcessor() {
   
        return new LifecycleBeanPostProcessor();
    }

    @Bean
    public DefaultAdvisorAutoProxyCreator getDefaultAdvisorAutoProxyCreator() {
   
        DefaultAdvisorAutoProxyCreator daap = new DefaultAdvisorAutoProxyCreator();
        daap.setProxyTargetClass(true);
        return daap;
    }

    @Bean(name = "securityManager")
    public DefaultWebSecurityManager getDefaultWebSecurityManager(MyShiroCasRealm myShiroCasRealm) {
   
        DefaultWebSecurityManager dwsm = new DefaultWebSecurityManager();
        dwsm.setRealm(myShiroCasRealm);
        dwsm.setSubjectFactory(new CasSubjectFactory());
        return dwsm;
    }

    @Bean
    public AuthorizationAttributeSourceAdvisor getAuthorizationAttributeSourceAdvisor(DefaultWebSecurityManager securityManager) {
   
        AuthorizationAttributeSourceAdvisor aasa = new AuthorizationAttributeSourceAdvisor()
最低0.47元/天 解锁文章
记录 SpringBoot+Shiro+JWT+Pac4j Oidc前端分离接入一体化中心实现单点登录与注销
weixin_42765596的博客
02-28 2541
.情况说明: 前后端分离项目,前端Vue.js,后端SpringBoot.作为业务系统,需要接入甲方客户的一体化用户统一认证中心平台(基于OpenID Connect 1.0标准协议实现的单点登录服务)实现单点登录与注销..一体化认证文档说明: 标识提供程序(一体化用户中心)为身份认证服务及权限控制服务提供用户及组织架构基础数据,它通过组织架构同步服务直接与人力资源系统对接,始终保持与人力资...
springboot前后端分离接入cas技术方案及实现(二)
--雪飘时吻你--
05-06 6281
1.在pom.xml中增加sso接入相关依赖 <!--cas-client--> <dependency> <groupId>org.jasig.cas.client</groupId> <artifactId>cas-client-core</artifactId...
Shiro 登录小案例 + 注销登录清掉session
可控的事情要谨慎,不可控的事情要乐观。
08-19 1540
输入用户名 密码登录 2.controller接收 3. 执行到subject.login(token) 然后跳到自定义realm里面,如下图: 上图中如果获取首体(当事人)user为空,那么用户不存在,直接return null 如果不为空,说明输入的用户名有对应的用户存在,但该用户密码不一定正确,有待进一步确认 如果密码确实不正确,return  authcInfo 以后...
CAS5.2x单点登录(九)---------cas服务端的退出源码解析以及客户端保存session及销毁session源码的解析
java线程池
05-06 4268
上一节已经说了如何解决cas客户端集群的单点退出的方法,但是由于大家对源码还不够了解,所以没有写代码上去,而我们这篇博客就是基于上篇来进一步讲解。 cas服务端的退出源码: 首先我们要找到这个jar包,因为我们是基于maven来管理这些包的,所以可以找到如下的这个包cas-server-core-logout,然后打开这个目录结构是如下所示的结构 我们一看代码并不是很多,就这区区几行,那...
c#--session--用户关掉页面清空session
VIP_CR的博客
02-27 1972
asp.net用户注销或者关闭网页时清除用户Cookie 一般在系统中都会用到cookie,但是有时候需要在用户注销或者关闭网页时将所有cookie给清除,所谓清除cookie不是说从硬盘上将cookie从硬盘上面删除,而是让需要删除的cookie过期, 1.用户注销时删除cookie的方法很简单: for (int i = 0; i <Response.Cookies.Count; i++...
CASSession两秒挂掉?--解决退出后登录,页面刷新的问题
老辉辉的博客
08-22 6728
版本:Server 3.5.2 ------------------------------------ 现象: 登录成功后,马上点退出。 退出登录后,自动跳转到login页面, 慢一点,等个几秒钟,然后输入用户名,密码,提交 页面刷新了一下,仍然是login页面, 再次输入,正常进入。 [已证实,原始的cas的war包部署上,也有此问题] -------
退出登录时清空session中的数据
M_emory_的博客
08-21 5748
退出登录时如何清空session中的数据
jeesite集成cas认证
zitengbanxian的博客
07-07 5934
casshiro集成,很好的解决了登录及权限问题。本人最近第一次使用,框架使用的是jeesite开源框架,本身已经集成了shiro,现在将cas集成到项目中。 折腾了三天,终于把cas集成到jeesite中。现将集成过程写下,供朋友参考。 本项目集成cas的同时还留有登录入口,此时需要多种认证方式,步骤6、7的设置就是针对这个功能的,如不需要可直接跳过。 1、添加cas的maven依赖。
jeecg-boot的shiro认证过程
csdnlaiyanqi的博客
06-05 3449
shrio配置 说明: 首先配置一系列拦截的路径 配置jwtfilter 继承AuthenticatingFilter 作后面的接口登录验证 自定义realm 实例化常规bean package com.hnlrkj.talentgift.config.shiro; import com.hnlrkj.talentgift.config.shiro.filters.CustomShiroFilterFactoryBean; import com.hnlrkj.talentgift.c..
清除B/S开发时页面缓存
weixin_30888027的博客
07-25 159
Response.Expires = -1; Response.ExpiresAbsolute = DateTime.Now.AddSeconds(-1); Response.CacheControl = "no-cache"; 转载于:https://www.cnblogs.com/BQONE/articles/830289.html...
CAS退出问题
海浪博客|技术|游戏|生活|随心
08-20 3150
CAS 3.5.2.1 版本 退出的解决方法: 1.
springboot整合shiro-关于登出时,redis缓存没有清理干净的问题
cristianoxm的博客
12-15 1523
原文地址,转载请注明出处: https://blog.csdn.net/qq_34021712/article/details/84722724 ©王赛超 如果是跟着我的shiro系列博客敲下来的,其实还有一个bug,这是一个网友遇到的,他在登出的时候,发现redis当前用户身份认证缓存没有清理掉,之前在 springboot整合shiro-ehcache缓存(五) 中测试添加权限之后,清理的是所有用户缓存,所以没有发现这个问题。 还记得上一篇博客: springboot整合shiro-实现自己
SpringMVC-shiro-cas实现单点登出功能(记录一下)
xcnaabb的博客
04-24 851
springmvc-shiro-cas实现单点登出
spring session 退出登录 清理session
xiaomin1991222的专栏
11-10 5139
/** * Allows creating an HttpSession from a Session instance. * * @author Rob Winch * @since 1.0 */ private final class HttpSessionWrapper extends ExpiringSessionHttpSession&...
CAS单点登出,调整CAS源码,实现前后端分离单点登出、清除redisshiro登录状态
左疼右疼的专栏
05-27 2844
单点登出,调整CAS源码,实现清除redisshiro登录状态。
sso单点登录
ityun的博客
01-05 622
一、什么是单点登录SSO(Single Sign-On)        SSO是一种统一认证和授权机制,指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。 二、单点登录解决了什么问题   解决了用户只需要登录一次就可以访问所有相互信任的应用系统,而不用重复登录。
【原创】CAS总结之单点退出篇(CAS到底有没有实现单点退出?)
zhenkm0507
12-11 986
           CAS 总结之单点退出篇   CAS 到底有没有实现单点退出?本人阅读了 JA-SIG CAS v3.3 ,以及 JA-SIG CAS-CLIENT 3.1.9 的源代码,发现表面上好像实现了单点退出,但实际上却没有真正实现。   现将 CAS 的 logout 接口的实现整理如下。   首...
CAS 登出方案
最新发布
atarik@163.com
03-08 579
添加配置cas.logout.followServiceRedirects:true,使支持 CAS 退出时支持输入 service 参数为跳转路径。1) 直接在客户端调用http请求/cas/logout去注销不能携带cookie信息, 无法完成注销。2)cas登录登出ip保持一致,使用localhost或127.0.0.1应统一。
用户退出登录清空redis中的session数据,(避免重新创建新的session
xnian_的博客
11-30 2447
后台已经对退出的时候做了清除redissession的处理,清除没问题,但是退出完成以后还会出一个新的session存进Redis中,所以网上搜了一些,JSP不自动创建session的方法,直接在<%@ page session="false"%>添加,jsp是session创建的源头 HtppSession session =request.getSession();等同于session.getSession(true);也是JSP默认的 所以避免产生没必要的session数据,根据自己
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值