shiro整合cas多次验证或者重复重定向问题

很多人在学习shiro+cas的时候都会遇到的问题：多次验证或者重复重定向。

先上基本配置：

<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">        <property name="securityManager" ref="securityManager"/>        <!-- 设定角色的登录链接，这里为cas登录页面的链接可配置回调地址  -->        <property name="loginUrl" value="${casUrl}?service=${siteUrl}/login" />        <!--<property name="successUrl" value="/lay" />-->        <property name="unauthorizedUrl" value="/lay" />        <property name="filters">            <util:map>                <!-- 添加casFilter到shiroFilter -->                <entry key="cas" value-ref="casFilter"/>                <entry key="logout" value-ref="logoutFilter"/>                <entry key="authc" value-ref="loginFormAuthenticationFilter"/>            </util:map>        </property>        <property name="filterChainDefinitions">            <value>                /assets/** = anon                /interface/** = anon                /system/user/forgetPwd = anon                /login = cas                /j_spring_cas_security_logout = logout                /** = authc            </value>        </property>    </bean>    <!-- CasFilter为自定义的单点登录Fileter -->    <bean id="casFilter" class="cn.cst.oss.common.system.security.filter.LoginCasFilter">        <property name="successUrl" value="/lay" />        <!-- 配置验证错误时的失败页面  -->        <property name="failureUrl" value="/lay"/>    </bean>    <bean id="logoutFilter" class="org.apache.shiro.web.filter.authc.LogoutFilter">        <!-- 配置验证错误时的失败页面 -->        <property name="redirectUrl" value="${casUrl}/logout?service=${siteUrl}" />    </bean>    <bean id="loginFormAuthenticationFilter" class="cn.cst.oss.common.system.security.filter.LoginFormAuthenticationFilter"/>    <bean id="casRealm" class="cn.cst.oss.common.system.security.filter.ShiroRealm">        <property name="casServerUrlPrefix" value="${casUrl}"/>        <!-- 客户端的回调地址设置，必须和下面的shiro-cas过滤器拦截的地址一致 -->        <property name="casService" value="${siteUrl}/login"/>        <property name="sysCode" value="${sysCode}"/>    </bean>    <bean id="casSubjectFactory" class="org.apache.shiro.cas.CasSubjectFactory"/>    <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">        <property name="realm" ref="casRealm"/>        <property name="subjectFactory" ref="casSubjectFactory"/>    </bean>    <bean id="lifecycleBeanPostProcessor" class="org.apache.shiro.spring.LifecycleBeanPostProcessor"/>

看配置可能大家会发现，其实跟网上其他教程中的配置没多大区别，但是又有点不同，接下来给大家解释：

1、将successUrl放在casFilter而不是放在shiroFilter。

我的理解是：既然我的认证改为了cas认证，那么我就应该把成功与失败都交给cas，而不是交给shiro。

2、重写authc与casFilter。

很多人初学都会遇到多次验证或者重复重定向，然后拿着异常网上各种查资料，到最后会发现，是因为shiro封装了指定的返回路劲：/、/index、上次request地址

通过配置文件配置的路劲，只是一个辅助作用，在shiro找不到跳转路劲后才会跳转到配置的路劲，所以我们要做的就是：重写跳转方法。

@Override    protected boolean onLoginSuccess(AuthenticationToken token, Subject subject, ServletRequest request,                                     ServletResponse response) throws Exception {        boolean flag = true;        String successUrl = this.getSuccessUrl();        if("".equals(successUrl)){            successUrl = DEFAULT_SUCCESS_URL;        }        WebUtils.issueRedirect(request, response, successUrl, null, flag);        //we handled the success redirect directly, prevent the chain from continuing:        return false;    }

这里的DEFAULT_SUCESS_URL就是默认的 / ，如果你的配置中有指定就放在这里可以不管，不然还是换个默认地址吧。

3、重点来了，如果没有耐心看到这里，那么只能抱歉，而看到这里的童鞋，继续向下看吧^_^：

上面说了多次验证的情况，还原下场景：A用户登录，发现应用系统后台先报错，然后又验证通过了，cas服务端登陆一次，TGT验证成功，但是ST第一次验证失败，但是生成的第二个ST却验证成功了，回调后咱进入了应用系统界面。这个问题的出现比较奇葩，解决方式很简单。

按照我上面贴出来的配置启动项目，你很容易就能复现这个错误，原因就是我在里面多加了一个参数：

<bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager">        <property name="realm" ref="casRealm"/>        <!-- 该参数加上会有一个报错，但是验证是能通过的 -->        <!--<property name="subjectFactory" ref="casSubjectFactory"/>-->    </bean>

实话实说，这个问题根据源码看是因为subjectFactory的参数不一样导致的，猜想应该是CasSubjectFactory创建subject过程中与cas有交互，默认的并没有导致的，不过我并没有深入研究。

备注：之所以重写authc权限验证，我举个例子：A用户在A电脑登录了子系统B，进入了管理菜单。然后A用户在B电脑登录了，同时管理员把A用户的权限改了，进不去子系统B了。这个时候A用户在A电脑已经在后台被CAS强制登出了，A用户需要重新登录才行。如果补充些authc，则会出现以下情况：A用户回到A电脑登录，验证通过，在跳转路劲时系统会发现，你上次访问历史是子系统B，但是现在已经没有权限了，怎么办，报错呗。而重写authc过滤器后，shiro就会直接说，你是重新登录的，我把首页给你，要进哪个系统自己去看。