单点登录cas常见问题(十四) - ST和TGT的过期策略是什么?

原创 已于 2022-02-21 09:26:24 修改 · 1.4w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#cas #单点登录

于 2016-03-01 21:22:17 首次发布
本文介绍了CAS单点登录中ST(Service Ticket)和TGT(Ticket Granting Ticket)的过期策略。ST默认使用一次即过期,未使用的情况下也会在10秒后过期,此设置在cas.properties中可调整。当CAS作为OAuth服务器时,ST(授权码code)同样遵循此规则。而TGT则可在默认2小时内多次使用。

ST和TGT的过期策略可以参看配置文件:ticketExpirationPolicies.xml
1、先说ST:ST的过期包括使用次数和时间,默认使用一次就过期,或者即使没有使用,一段时间后也要过期
当cas配置为OAuth服务器时,oauth中的授权码code也是用一次就过期,它和单点登录中的ST实际上是一个东西;
st默认过期时间是10秒,这个st在oauth中作为授权码code使用,过期时间也是10秒(过期时间默认10秒,可以在cas.properties中修改# st.timeToKillInSeconds=10)

 <!-- Expiration policies -->
    <bean id="serviceTicketExpirationPolicy" class="org.jasig.cas.ticket.support.MultiTimeUseOrTimeoutExpirationPolicy"
          c:numberOfUses="1" c:timeToKill="${st.timeToKillInSeconds:10}" c:timeUnit-ref="SECONDS"/>

2、TGT是可以多次使用的,TGT的默认过期时间是7200秒=2小时

    <!-- TicketGrantingTicketExpirationPolicy: Default as of 3.5 -->
    <!-- Provides both idle and hard timeouts, for instance 2 hour sliding window with an 8 hour max lifetime -->
    <bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.TicketGrantingTicketExpirationPolicy"
          c:maxTimeToLive="${tgt.maxTimeToLiveInSeconds:28800}" c:timeToKill="${tgt.timeToKillInSeconds:7200}" c:timeUnit-ref="SECONDS" />

单点登录cas常见问题系列汇总 - 持续更新
will的成长之路
02-21 8137
单点登录cas常见问题() - 子系统是否还要做session处理? 单点登录cas常见问题() - 子系统是否会频繁访问cas中心? 单点登录cas常见问题() - 单点登出时,子系统是否同步登出? 单点登录cas常见问题() - ticket有哪些存储方式? 单点登录cas常见问题() - service有哪些存储方式? 单点登录cas常见问题() -
关于CASTGTService Ticket的过期策略
为时已晚
05-24 1万+
首先说明一下什么是cas:cas是一套单点登录的框架,利用它可是实现登录一个账号就能访问多个相关系统的功能。它分为客户端Client服务端Server,只要将开发单点登录的系统集成cas的客户端,然后部署好服务端,就可以实现多系统的单点登录。下面说一下cas的认证流程:1)用户访问cas-client,被拦截跳转到cas-server进行登录,输入正确的用户信息2)登录成功后,cas-serve...
单点登录session超时
linlinxie的博客
03-10 3850
session过期后跳到单点登录地址,带着ticket参数去验证用户,如果单点登录验证到ticket没过期,就不会去登录页面,但是会刷新当前页,因为从单点登录地址重定向到了当前页面地址。所以给用户的感觉就是长时间不操作时,点击页面元素会出现刷新页面的情况。另外,java项目shiro集成时有两个地方可以设置session过期时间,如图所示1.shiro配置xml文件中,这个优先级最高2.web....
cas入门之二十四:ticket的过期策略
热门推荐
snoopy
08-19 2万+
cas 提供了可插拔式的ticket过期策略框架用于tgtst。在cas应用中,tgtst过期策略配置默认在cas/webapp/WEB-INF/spring-configuration/ticketExpirationPolicies.xml 文件中。在cas过期策略中,并没有明确指出哪一种ticket应用于哪一种过期策略,但是我们根据类名,还是能够进行区分的。但是并不能说明这个过期
CAS票据之STTGT过期策略详细说明
Java精选
11-16 2万+
CAS的核心就是Ticket中文称之为票据,以及在Ticket之上的一系列逻辑处理操作。CAS的主要包含票据有TGTST、PGT、PGTIOU、PT,其中TGTSTCAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中新增的的票据,目前CAS最新版本已经到了CAS4.0。cas分为服务端客户端两部分组成,下简单说一说CAS认证过程: 1)用户访问cas-client
Single Sign On (单点登陆) 以及Session过期问题的解决方案
weixin_30701521的博客
04-10 469
1. Single Sign On 目的:多个Web应用有统一的登陆以及一次登陆完成所有Web应用的认证。 原理:利用Form认证,认证后的Cookie,使得参与Web应用的都具有一组相同的用于加密与验证加密的密钥。加密与验证加密的密钥位于 Machine.config 中,修改 <system.web> 节点下的 <machineKey> 节点属性。...
基于Java的源码-单点登录系统 JA-SIG CAS.zip
07-23
总结,JA-SIG CAS是一个强大且灵活的单点登录解决方案,使用Java实现,易于集成扩展。它的核心在于简化用户的登录流程,同时提供安全的认证机制,确保数据应用的安全。对于需要在多个应用之间实现统一身份验证的...
基于Java的单点登录系统 JA-SIG CAS.zip
06-17
Java单点登录系统(Single Sign-On,简称SSO)是一种身份验证机制,允许用户在一次登录后访问多个相互关联的应用系统,而无需再次输入凭证。JA-SIG CAS(Central Authentication Service)是Java社区开发的一个开源...
基于CAS协议的Spring OAuth单点登录系统实现
SSO(Single Sign-On,单点登录)是一种在多个应用系统中实现用户只需登录一次即可访问所有相互信任系统的身份验证机制。这种机制极大提升了用户体验,避免了在不同系统之间频繁输入用户名密码的繁琐操作,尤其...
CAS5 之 超时设置
GuanHao的博客
08-18 7715
TGT ST超时 详见TGT Expiration Policy https://apereo.github.io/cas/5.2.x/installation/Configuration-Properties.html#tgt-expiration-policy Ticket expiration policies are activated in the following order:...
关于Apereo CAS中的几种timeout定义
wdyyeah的博客
10-29 4235
session timeout:  顾名思义,就是session超时时间(CAS中默认配置是5分钟),在CAS中使用了spring workflow来做登录登出的流程,这些流程中的数据都是存在当前session中的,大家应该看到登录页面表单元素中有lt/execution,这些是在打开登录页面时由login workflow生成,当你提交表单时会与session中的lt/execution进行
cas5.3.9单点登录-总结遇到的坑
神奇de旋风的博客
06-28 1万+
cas5.3.9单点登录-总结遇到的坑前言cas简介术语解释Ticket Grangting Ticket(TGT)Ticket Granting Cookie(TGC)Service Ticket(ST)图解TGCTGTServer与Client交互过程项目搭建项目文档项目二次开发项目二次开发遇到的问题SSL证书申请cas ticket过期策略cas client单机-单点退出cas clie......
CAS ticket过期策略
weixin_30455067的博客
10-14 471
CAS提供可扩展的ticket过期策略,支持ticket-granting tickets (TGT)service tickets (ST)的配置。 CAS客户端存储用户信息一般使用session,因此客户端用户登录过期时间应该还取决于客户端session的过期时间。 一、TGT过期策略 1、TimeoutExpirationPolicy CAS默认使用该策略作为TGT过期策略,该...
6.CAS增加Remember me
编码语言Codelang
11-25 2430
CAS增加Remeber me
CAS单点登录-关于服务器超时以及客户端超时的分析 (十)
Lambda
09-26 1899
预想情况 一般情况下,当用户登录一个站点后,如果长时间没有任何动作,当用户再次单击时,会被强制登出并跳转到登录页面,提醒用户重新登录。 现在我已经为站点整合了CAS,并且已经实现了单点登录以及单点注销,那么当用户使用过程中,发生了超时的情况,估计也是自动强行登出了吧,而且其他部署了CAS的站点也跟着自动登出。 上面的是猜想,那么实际情况到底是什么样的? 疑问 CAS-Client...
CAS单点登录9 - 服务端RememberMe
bitree1的博客
02-15 2183
CAS一些配置项 下面是CAS-4.0.3服务端的来自cas.properties中的一些配置项介绍 1、cas.securityContext.status.allowedSubnet=127.0.0.1   可以访问的服务端统计页面:http://sso.jadyer.com:8080/cas-server-web/status   可以访问的服务端统计页面:http://sso.ja...
在 Docker 容器内集成 Crontab 定时任务
素履独行 | 元培的个人博客
11-29 4216
有时候,我们需要在容器内执行某种定时任务。譬如,Kerberos客户端从KDC中获取到的TGT默认有效期为 10 个小时,一旦这个票据失效,我们将无法使用单点登录功能。此时,我们就需要一个定时任务来定时刷新票据。此前,博主为大家介绍过这样的定时任务系统,而对于 Linux 来说,其内置的是比以上两种方案更加轻量级的一种方案,它可以定时地去执行Linux中的命令或者是脚本。对应到Kerberos的这个例子里面,从 KDC 申请一个新的票据,我们只需要使用kinit这个命令即可。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值