SpringSession系统对接CAS遇到的反序列化问题

网友投稿 923 2022-05-30

springSession系统对接CAS遇到的反序列化问题

1、业务背景

业务背景:最近在对接CAS单点登录,遇到一个问题,加班到凌晨,先描述一下背景,首先公司的系统是基于Spring Session做的单点登录,目的是引用Spring Session实现会话共享,然后最近接到需求,要对接另外一个公司的CAS单点登录系统,也就是说自己公司内部多个子系统直接通过Spring session实现单点登录,然后再对接一个第三方公司的单点登录,听起来有点像非常规操作。

这个对接也就是自己的spring Session体系的系统作为一个cas client主体,然后再去对接CAS

2、单点登录

单点登录(Single sign on),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统。也就是说只要登录一次单体系统就可以。

3、CAS单点登录

CAS(Center Authentication Service)是耶鲁大学研究的一款开源的单点登录项目,主要为web项目提供单点登录实现,属于Web SSO。然后,需要先了解CAS单点登录,按照CAS的规范进行对接,cas的资料可以参考我之前的:CAS单点登录系列博客

CAS官网资料:

CAS Github链接

Apereo CAS官方网站

CAS体系结构分为CAS Server和CAS Client。

CAS Server就是Cas开源的,需要去github下载,然后进行修改;Cas Client

可以是App或者web端的或者PC端,CAS支持多种开发语言,java、php、C#等等

PS:图来自官网,这里简单介绍一下,从图可以看出,CAS支持多种方式的认证,一种是LDAP的、比较常见的数据库Database的JDBC,还有Active Directory等等;支持的协议有Custom Protocol 、 CAS 、 OAuth 、 OpenID 、 RESTful API 、 SAML1.1 、 SAML2.0 等

下面给出一张来自CAS官方的图片

CAS登录等系统分为CAS Server和CAS Client,下面,我根据我的理解稍微解释一下:

1、用户访问CAS Client请求资源

2、客户端程序做了重定向,重定向到CAS Server

SpringSession系统对接CAS遇到的反序列化问题

3、CAS Server会对请求做认证,验证是否有TGC(Ticket Granted Cookie,有TGC说明已经登录过,不需要再登录,没有就返回登录页面

4、认证通过后会生成一个Service Ticket返回Cas Client,客户端进行Ticket缓存,一般放在Cookie里,我们称之为TGC(Ticket Granted Cookie)

5、然后Cas Client就带着Ticket再次访问Cas Server,CAS Server进行Ticket验证

6、CAS Server对Ticket进行验证,通过就返回用户信息,用户拿到信息后就可以登录

4、原因分析

所以可以先分析一下怎么实现?首先既然是不同公司的登录系统,一般都会有两套的用户体系,所以可以先设计一张用户的关联表,然后两套系统的用户关联关系。按照CAS规范对接之后,我们拿到cas的登录用户账号,从关联表拿出公司系统(基于Spring Session)的用户账号,进行自己内部系统的登录

ok,看起来方案还是比较清晰,不过在上线后,出现麻烦的问题,就是自己的登录包登录之后,登录包拿到cas的用户之后,再取关联用户数据去进行内部系统的springSession单点登录之后,这个包是正常,不过在其它war包系统进行登录,发现,springsession,session对象都获取不到,一直抛异常,redis序列化失败,ClassNotFoundException?

org.springframework.data.redis.serializer.SerializationException: Cannot deseria

lize; nested exception is org.springframework.core.serializer.support.Serializat

ionFailedException: Failed to deserialize payload. Is the byte array a result of

corresponding serialization for DefaultDeserializer?; nested exception is org.s

pringframework.core.NestedIOException: Failed to deserialize object type; nested

exception is java.lang.ClassNotFoundException: org.jasig.cas.client.validation.

AssertionImpl

at org.springframework.data.redis.serializer.JdkSerializationRedisSerial

izer.deserialize(JdkSerializationRedisSerializer.java:41)

at org.springframework.data.redis.core.AbstractOperations.deserializeHas

hValue(AbstractOperations.java:316)

at org.springframework.data.redis.core.AbstractOperations.deserializeHas

hMap(AbstractOperations.java:277)

at org.springframework.data.redis.core.DefaultHashOperations.entries(Def

aultHashOperations.java:227)

at org.springframework.data.redis.core.DefaultBoundHashOperations.entrie

s(DefaultBoundHashOperations.java:101)

然后纠结想了很久,没找到原因,后来部门老大找到方法,就是在tomcat lib下面丢一下cas-client-core.jar

原因是什么?首先要对Spring session有一定了解,非spring session项目,Session的管理一般是给中间件,比如tomcat、weblogic等等进行管理的,而引用SpringSession项目后,Session管理给框架实现,然后会将数据同步到redis,也就是我们使用了setSession,数据都会同步到redis

同时,我们也要熟悉CAS,可以找cas client源码里找到如下代码:代码里将一个对象丢到里Session里

所以,就可以知道在知道原因了,我们分析一下:在对接CAS时,在过滤器里,我们将AssertionImpl这个对象丢到了Session里,然后经过springSession管理的项目,就有问题,可以先在cas源码里找到哪里进行了setSession

org.jasig.cas.client.jaas.Servlet3AuthenticationFilter

org.jasig.cas.client.validation.AbstractTicketValidationFilter.java:

ok,本博客进行比较浅显的分析,先做好记录,日后有时间再看看源码实现

5、附录资料

CAS官网资料:

CAS Github链接

Apereo CAS官方网站

Spring

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:应用服务器集群的Session管理
下一篇:BlockChain:区块链技术基础概念综合理解——个人总结
相关文章