Единый выход с CAS

У меня есть среда с cas-сервером и любыми java-клиентами. Я столкнулся с проблемой единого выхода из системы со всеми клиентами, потому что клиент выполняет перенаправление на путь /cas/logout, и только этот сеанс выходит из системы. Билет внутри файла cookie CASTG очищается, но пользователь все еще может получить доступ к другим приложениям, но когда клиент пытается получить доступ к приложению, которое пользователь перенаправил в /cas/logout, сервер cas запрашивает учетные данные пользователя.

Как я видел, когда вы делаете запрос к /cas/logout, это работает как цепочка, где сервер CAS выходит из системы один за другим.

Очевидно, проблема с конфигурацией, но я не могу ее найти.

Важно: Когда пользователь делает запрос на cas/logout, удаляются два файла cookie, CASTGC и CASPRIVACY.


ssl ssl-certificate spring-security cas jasig
person Ivan Rodrigues    schedule 25.04.2014    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Действительно, сервер CAS должен отправлять запросы на выход из системы всем приложениям, к которым пользователь обращался при вызове /cas/logout, в дополнение к удалению собственных файлов cookie (CASTGC и CASPRIVACY). Управление свойством: https://github.com/Jasig/cas/blob/master/cas-server-webapp/src/main/webapp/WEB-INF/cas.properties#L75...

person jleleu    schedule 27.04.2014
comment
Я тоже настроил эту линию. Анализируя журнал, я вижу, что сервер CAS пытается отправить запрос приложениям, к которым обращается пользователь, но печатает исключение SSLHandshakeException. Мои приложения работают с безопасным соединением так же, как CAS Server. Я должен поместить в cacerts JVM, который запускает CAS, все сертификаты моих приложений? - person Ivan Rodrigues; 27.04.2014
comment
Да, сервер CAS должен иметь возможность напрямую взаимодействовать с приложением и, таким образом, иметь соответствующий сертификат в своем хранилище доверенных сертификатов/хранилище ключей. - person jleleu; 28.04.2014
comment
У меня есть один Apache и несколько приложений, работающих на JBOSS. Другими словами у меня один и тот же сертификат к CAS и к приложениям. Если SSO работает, SLogout тоже должен работать, верно, потому что это тот же сертификат. Или все экземпляры jboss должны иметь сертификат? - person Ivan Rodrigues; 28.04.2014
comment
Я не специалист по сертификатам, но я полагаю, что вы установили свой собственный SSL-сертификат, чтобы включить SSL на сервере CAS и на стороне приложений. Чтобы общаться с ними (сервер CAS является клиентом для приложений), вам нужно добавить центры сертификации, чтобы доверять сертификату вашего сервера... - person jleleu; 28.04.2014