spring-oauth集群负载的cas单点登出问题

最新推荐文章于 2023-12-05 23:07:58 发布
原创 最新推荐文章于 2023-12-05 23:07:58 发布 · 699 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了解决CAS环境下单点登出故障的方法。通过监听广播机制,确保所有OAuth服务器同步登出状态,避免因集群负载导致的用户残留登录信息问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文及更多文章请见个人博客:http://heartlifes.com

背景:

前端有N台由spring-oauth,spring-cas搭建的提供oauth2服务的服务器,后端有单台cas搭建的sso单点登录服务器,通过nginx的iphash保证用户在同一会话工程中始终登录在固定的一台oauth2服务器上。

现象:

cas3.5默认不支持集群环境下的单点登出,导致当用户使用oauth服务时,出现单点故障,具体表现为:
用户A在浏览器上完成整个oauth流程后,此时
1.用户A在单点登录服务器上点击登出按钮
2.系统提示用户登出成功
3.用户B在同一个浏览器上访问oauth服务器,此时没有要求用户B登录,还是用户A的登录信息,并且后续oauth流程报错

原因:

假设oauth服务部署在A,B两台机器上,提供负载访问。SSO单点服务部署在C机器上。
1.用户在C机上登出时,C机器上的SSO服务删除C服务器中的session,并且清空存在用户浏览器中的cookies
2.C服务器中的sso服务通知A,B中部署的oauth服务,用户已经退出,请求oauth服务清空自己的session缓存。
3.此时,由于A,B是负载设置,CAS通知的oauth登出服务,其实只是通知到了A或B中的一台。
4.假设通知到的是A服务器,此时A服务器删除oauth中的session缓存,而B服务器中的oauth session缓存依旧存在
5.用户再次使用oauth服务,此时,由于集群原因,用户可能正好使用到的是B服务器上的oauth服务,由于B服务器中session依旧存在,结果出现单点登出故障。

解决方案:

翻遍了google中所有的讨论,结果毫无进展。
尝试了使用jedis来存储session,结果发现session中存储的AuthorizationRequest类,没有实现序列化接口,无法实体化到redis中,无奈之下,使用了一种监听广播的方式

1.重写SingleSignOutFilter类中的doFilter方法

if (handler.isTokenRequest(request)) {
    handler.recordSession(request);
} else if (handler.isLogoutRequest(request)) {
    String from = request.getParameter("from");
    if (StringUtils.isEmpty(from)) {
            multiCastToDestroy(request);
    }
    handler.destroySession(request);
    // Do not continue up filter chain
    return;
} else {
    log.trace("Ignoring URI " + request.getRequestURI());
}

增加multiCastToDestroy方法

private void multiCastToDestroy(HttpServletRequest request) {
    String logoutMessage = CommonUtils.safeGetParameter(request,"logoutRequest");
    ExecutorService executors = Executors.newFixedThreadPool(100);
    String[] tmps = multicastUrls.split(",");
    for (String tmp : tmps) {
        String[] urls = tmp.split("=");
        String key = urls[0];
        String url = urls[1];
        executors.submit(new MessageSender(url, logoutMessage, ownKey,5000, 5000, true));
    }
}

增加MessageSender内部类

private static final class MessageSender implements Callable<Boolean> {
    private String url;
    private String message;
    private String from;
    private int readTimeout;
    private int connectionTimeout;
    private boolean followRedirects;

    public MessageSender(final String url, final String message,final String from, final int readTimeout,final int connectionTimeout, final boolean followRedirects) {
        this.url = url;
        this.message = message;
        this.from = from;
        this.readTimeout = readTimeout;
        this.connectionTimeout = connectionTimeout;
        this.followRedirects = followRedirects;
    }

    public Boolean call() throws Exception {
        HttpURLConnection connection = null;
        BufferedReader in = null;
        try {
            System.out.println("Attempting to access " + url);
            final URL logoutUrl = new URL(url);
            final String output = "from=" + from + "&logoutRequest="+ URLEncoder.encode(message, "UTF-8");
            connection = (HttpURLConnection) logoutUrl.openConnection();
            connection.setDoInput(true);
            connection.setDoOutput(true);
            connection.setRequestMethod("POST");
            connection.setReadTimeout(this.readTimeout);
            connection.setConnectTimeout(this.connectionTimeout);
            connection.setInstanceFollowRedirects(this.followRedirects);
            connection.setRequestProperty("Content-Length",Integer.toString(output.getBytes().length));
            connection.setRequestProperty("Content-Type","application/x-www-form-urlencoded");
            final DataOutputStream printout = new DataOutputStream(connection.getOutputStream());
            printout.writeBytes(output);
            printout.flush();
            printout.close();
            in = new BufferedReader(new InputStreamReader(connection.getInputStream()));
                while (in.readLine() != null) {
                // nothing to do
            }

            System.out.println("Finished sending message to" + url);
            return true;
        } catch (final SocketTimeoutException e) {
            e.printStackTrace();
            return false;
        } catch (final Exception e) {
            e.printStackTrace();
            return false;
        } finally {
            if (in != null) {
                try {
                    in.close();
                } catch (final IOException e) {
                    // can't do anything
                }
            }
            if (connection != null) {
                connection.disconnect();
            }
        }
    }
}

修改oauth配置文件:
增加以下配置:

<bean id="singleLogoutFilter" class="com.xxx.xxx.cas.filter.SingleSignOutFilter">
    <property name="multicastUrls"      value="127.0.0.1=http://127.0.0.1/api/j_spring_cas_security_check,localhost=http://localhost/api/j_spring_cas_security_check" />
    <property name="ownKey" value="localhost" />
</bean>

这样,当CAS通知到A服务器去做登出操作时,A服务器会广播给其他几台服务器同步去做登出操作,通过广播的方式解决单点登出的故障

SpringCloud系列——12Spring Cloud实战之统一认证与授权
Eclipse_2019的博客
07-15 2497
单体架构下的统一认证与授予;微服务架构下的统一认证与授权;微服务架构JWT+API实现统一认证与授权实战
Spring Security 单点登出
weixin_42555971的博客
11-09 1587
单点登出
Spring Cloud云架构 - SSO单点登录之OAuth2.0 登出流程(3)
chengxiao3479的博客
12-18 261
上一篇我根据框架中OAuth2.0的使用总结,画了一个根据用户名+密码实现OAuth2.0的登录认证的流程图,今天我们看一下logout的流程: Java代码 /** *用户注销 *@paramaccessToken ...
SpringSecurity退出功能实现的正确方式(推荐)
08-25
本文将介绍在Spring Security框架下如何实现用户的"退出"logout的功能。本文通过实例代码讲解的非常详细,具有一定的参考借鉴价值,需要的朋友参考下吧
casoauth2是如何完成登录的?
zs56374的专栏
06-04 788
2认证方式 不同的客户有不同的认证方式,具体采用哪种方式对接,要取决于客户方提供的接口文档, 下面简单说一下CASOauth2认证 ,了解CASOauth2流程的可以直接跳过 2.1 CAS 对于一般对接的客户来说,客户方都有自己的系统,简单来说CAS这种方式就是让客户只登录他们的认证系统,然后就可以不用登录直接进入到我们的云文档 CAS分为两部分,CAS Server和CAS Client CAS Server用来负责用户的认证工作,就像是把第一次登录用户的一个标识存在这里,以..
CAS单点登录故障诊断手册】:快速解决认证系统常见问题
本文详细探讨了CAS单点登录(Single Sign-On, SSO)的技术细节和实践应用。首先,介绍了CAS SSO的基础原理和系统架构,包括其核心组件和工作流程,以及CAS协议的标准。接着,本文阐述了CAS SSO的故障诊断方法,包括...
CAS单点登录 v5.3.x:基础概念与简介
# 1. CAS单点登录简介 ## 1.1 CAS单点登录的定义与概念 ...CAS单点登录最早由耶鲁大学开发,旨在解决学术界的网络应用身份认证问题。随后,CAS被整合到了Apereo基金会,并得到了广泛的应用和支持。CAS系统经过多年
CAS单点登录详解】:企业级身份认证的最佳实践,深入解析7大安全策略
![cas、第三方接口登录]...文章首先阐述了CAS单点登录的技术原理和关键组件,紧接着深入分析了CAS协议的特点和认证过程,并探讨了安全性方面的考量。接着,文章通过具体的实践案例,详细描述了如何部署CAS服务器
CAS在微服务架构中的应用:单点登录与服务发现的融合
[CAS在微服务架构中的应用:单点登录与服务发现的融合](http://www.xuetimes.com/wp-content/uploads/2022/03/1.png) # 1. 微服务架构概述与挑战 在当今的软件开发领域,微服务架构已经成为了一种主流的架构模式,...
spring security oauth2 sso退出
a595077052的专栏
08-05 4289
一、客户端退出调用认证中心/logout服务 这种方式是客户端先退出,然后再退出认证中心。 方法1:集成WebSecurityConfigurerAdapter,重写方法如下 @Override protected void configure(HttpSecurity http) throws Exception { http.logout().logoutSuccessUrl("认证中心/logout服务地址"); } 方法2:提供服务,先清除本地登录信息,再重定向到认证中心/logo
spring security oauthcas 无法退出
iteye_10619的博客
12-05 428
spring security oauthcas 实现 oauth 登录。 但无法退出。   &lt;Error Sending message to url endpoint [http://localhost:8080/j_spring_cas_security_check]. Error is [Server returned HTTP response code: 403 f...
oauth2 logout
gaojijun_bit的博客
01-02 875
在使用oauth2协议对接单点登录系统时,如何从应用登出
springcloud整合Oauth2自定义登录/登出接口
wangxulei123的博客
12-05 839
这里直接用UsernamePasswordAuthenticationToken生成凭证并构造出需要的参数。Oauth2 有许多的坑需要去填,如果有需要请留言,我会出一期完整博客记录Oauth2认证与授权。自定义登出接口,然后传入token和刷新token利用tokenStore进行删除即可。我使用的是password模式,并配置了token模式。一、登录 (这里我使用的示例是用户名密码认证方式)就是根据传入的param和token进行构造。在postAccessToken方法中。
springsecurity oauth2.0 自定义退出9
健康平安的活着的专栏
08-15 3600
一 security默认的退出 Spring security默认实现了logout退出,访问/logout: 实现逻辑: 点击“Log Out”退出 成功。 退出 后访问其它url判断是否成功退出。 二 自定义退出 2.1 配置文件中配置 在WebSecurityConfifig的protected void confifigure(HttpSecurity http)中配置: .and() .logout() .logoutUrl("/logout") .logoutSucc.
Spring Security OAuth2 单点登录和登出
热门推荐
shpunishment的博客
05-03 1万+
文章目录1. 单点登录1.1 使用内存保存客户端和用户信息1.1.1 认证中心 auth-server1.1.2 子系统 service-11.1.3 测试1.2 单点登录流程1.2.1 请求授权码,判断未登录,返回登录页1.2.2 登录成功,继续请求授权码,未被资源所有者批准,返回批准页面1.2.3 资源所有者批准,重定向返回授权码1.2.4 客户端获取到授权码,请求Token1.2.5 获取到...
从实战到原理带你彻底弄懂OAuth2
竹林幽深
05-16 410
在详细讲解oauth2之前,我们先来了解一下它里边用到的名词定义吧:Client:客户端,它本身不会存储用户快捷登录的账号和密码,只是通过资源拥有者的授权去请求资源服务器的资源,即例子中的网站A;Resource Owner:资源拥有者,通常是用户,即例子中拥有QQ/微信账号的用户;Authorization Server:认证服务器,可以提供身份认证和用户授权的服务器,即给客户端颁发token和校验token;
spring-security-oauth2 单点登录
最新发布
06-28
在使用 `spring-security-oauth2` 实现单点登录时,主要涉及以下几个关键步骤: #### 1. **依赖配置** 首先需要引入相关的依赖包。以下是一个典型的 Maven 配置示例: ```xml <groupId>org.springframework.boot...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值