cas实现共享session
来源:互联网 发布:手机数据代理ip怎么用 编辑:程序博客网 时间:2024/04/29 23:14
cas是开源的登录认证方案,可以实现多个web应用的单点登录。
随着用户量的增加,web应用需要部署多个实例,要实现不同应用、多实例的共享session,需要先了解cas的logout机制。简单的说,web应用在接入cas的时候需要继承cas-client-core,这个模块完成的事情如下:
- 拦截到web应用的请求,验证登录状态,若未登录则跳转到登录页
- 登录成功,web应用的tomcat存储session,cas-server保存TGT信息,cas-client-core保存ST和session的对应关系
- 登出时由cas-server返回ST信息,cas-client-core根据ST删除自己存储在内存的ST和session信息
要实现共享session,就需要解决以下两个问题:
- tomcat共享session
- cas-client-core共享ST和session的对应关系
tomcat共享session
tomcat默认的session是存在在内存的,因此要实现共享就需要实现session存储到数据库,考虑到用户操作需要频繁读取session,因此redis很适合用来实现session统一存储。
tomcat-redis-session-manager是开源的tomcat共享session插件,这里需要注意要下载比较新的master版本,我当时是下了稳定版本tomcat-redis-session-manager-1.2-tomcat-7-java-7,结果一直在死循环,阅读源码才修改了其中的bug,后面发现master已经修复bug。
我用的插件版本如下:
- commons-pool-1.6.jar
- jedis-2.0.0.jar
- 修改bug后的tomcat-redis-session-manager-1.2-tomcat-7-java-7.jar
然后按照官网的说明,只需要在tomcat的context.xml简单加上配置就ok
cas-client-core共享ST和session
cas-client-core利用HashMapBackedSessionMappingStorage实现了ST和session的内存存储,因此很简单,我们只需要实现使用redis存储ST和session的缓存,替换该接口即可。
这里在序列化存储的时候碰到头疼的问题,StandardSessionFacade没有实现序列化,如果改动StandardSessionFacade需要重新编译catalina的jar包,比较麻烦所以没有选择该方案。
那怎么办呢?在集成了tomcat-redis-session-manager插件后,tomcat使用的session最终实例其实还是RedisSession,这个必然实现了序列化接口,因此我们只需要存储这个实例即可。问题来了,StandardSessionFacade的变量session为private,真是处处坑。。只能用java反射来获取了。以下是redis保存ST和session的源码:
@Override public void addSessionById(String mappingId, HttpSession session) { String STKey = getKey(mappingId); StandardSessionFacade standardSessionFacade = (StandardSessionFacade) session; RedisSession redisSession = null; try { redisSession = (RedisSession) getValue(standardSessionFacade, "session"); } catch (IllegalAccessException e) { e.printStackTrace(); } catch (NoSuchFieldException e) { e.printStackTrace(); } if (null == redisSession) { log.error("get redisSession fail"); return; } sessionRedisTemplate.opsForValue().set(STKey, jdkSerializer.serialize(redisSession)); String sessionKey = getKey(session.getId()); stringRedisTemplate.opsForValue().set(sessionKey, STKey); log.debug("cas-client add session, mappingId:" + mappingId + " sessionId:" + session.getId()); }保存ok了,接下来看看删除,先来看看SingleSignOutHandler的删除代码:
public void destroySession(final HttpServletRequest request) { final String logoutMessage = CommonUtils.safeGetParameter(request, this.logoutParameterName); if (log.isTraceEnabled()) { log.trace("Logout request:\n" + logoutMessage); } final String token = XmlUtils.getTextForElement(logoutMessage, "SessionIndex"); if (CommonUtils.isNotBlank(token)) { final HttpSession session = this.sessionMappingStorage.removeSessionByMappingId(token); if (session != null) { String sessionID = session.getId(); if (log.isDebugEnabled()) { log.debug("Invalidating session [" + sessionID + "] for token [" + token + "]"); } try { session.invalidate(); } catch (final IllegalStateException e) { log.debug("Error invalidating session.", e); } } } }invalidate方法会调用StandardSession的expire方法,此处需要利用manager获取上下文信息,但是manager无法存储(测试过使用json序列化或者java 序列化均无法存储manager),因此invalidate不会真正去执行,看了下代码,只是通知一些监听者。so,感觉问题不大,ST和session对应关系信息删除了,接下来就是删除tomcat的session,干脆用了比较trick的方法,在cas-client-core直接删除tomcat的session。附上删除的代码:
@Override public HttpSession removeSessionByMappingId(String mappingId) { String STKey = getKey(mappingId); log.debug("cas-client remove session, STKey:" + STKey); RedisSession session = null; byte[] value = (byte[]) sessionRedisTemplate.opsForValue().get(STKey); session = (RedisSession) jdkSerializer.deserialize(value); if (null == session) { log.error("session is null"); return null; } removeBySessionById(session.getId()); sessionRedisTemplate.delete(session.getId()); log.debug("delete session:" + session.getId()); return session; } @Override public void removeBySessionById(String sessionId) { log.debug("Attempting to remove Session=[" + sessionId + "]"); String sessionKey = getKey(sessionId); String st = stringRedisTemplate.opsForValue().get(sessionKey); if (log.isDebugEnabled()) { if (st != null) { log.debug("Found mapping for session. Session Removed."); } else { log.debug("No mapping for session found. Ignoring."); } } stringRedisTemplate.delete(sessionKey); sessionRedisTemplate.delete(st); }实现有点trick,测试暂时没有发现问题,两个实例能够正常登陆、使用和退出。
1 1
- cas实现共享session
- spring-session实现session共享
- [Session共享]Tomcat集群实现Session共享
- [Session共享]Spring-Redis实现Session共享
- Session共享实现方案
- redis实现session共享
- Tomcat实现Session共享
- redis实现session共享
- memcache实现session共享
- 如何实现session共享
- Tomcat实现session共享
- 如何实现Session共享
- Redis实现Session共享
- 如何实现session共享
- shiro实现session共享
- redis实现session共享
- 如何实现session共享
- redis实现session共享
- mybatis-generator 代码自动生成工具
- junit使用及断言
- 安卓系统源码编译系列(1)——下载安卓系统源码教程
- JSTL标签学习笔记
- Hduoj3047【带权并查集】
- cas实现共享session
- Jurassic Remains
- 抢注域名的经验
- SVN出现了不可加载项怎么解决?
- 安卓系统源码编译系列(2)——安卓系统源码编译教程
- 过滤器的学习笔记
- 显示电子表格数据库
- 【Java】在一定的范围内产生不同的随机数
- 3 Configuration。。。手机配置