【原创】CAS总结之集群环境篇

 

      CAS的集群环境，包括CAS的客户应用是集群环境，以及CAS服务本身是集群环境这两种情况。在集群环境下使用CAS，要解决两个问题，一是单点退出时，CAS如何将退出请求正确转发到用户session所在的具体客户应用服务器，而不是转发到其他集群服务器上，二是解决CAS服务端集群环境下各种Ticket信息的共享。下面依次讨论在这两种集群环境下，CAS的使用情况。

一 客户应用是集群环境

 

集群配置：几台Apache服务器+几台Resin服务器

我们分三种场景依次来讨论一下。

 

1：正常登录

 

登录流程

 

      正常登录过程，如上图所示。CAS客户应用和CAS服务之间是redirect，CAS将请求redirect回客户应用时，浏览器会把客户应用的sessionid(以cookie的形式)顺便带给客户应用，客户应用的集群环境，会根据sessionid,将用户请求始终转发到某一台具体的服务器上。正常登录过程是没有问题的。

 

2：用户正在访问的客户应用服务器宕掉

     当用户正在访问的客户应用服务器宕掉时，集群环境会把用户的下次请求转发到另一台服务器上。如果各服务器之间实现了session共享，那部署在客户应用的CAS Filter是不会再redirect 到CAS去登录的，如果各服务器没有实现session共享，session信息丢失了，那CAS Filter会redirect 到CAS去登录，然后把用户信息加载到本机器的session里。在这种场景下，也是没问题的。

 

3：单点退出

      在退出的时候，客户应用负责redirect到CAS的logout接口，logout接口首先将服务端的TGT对象失效掉，然后遍历TGT对象的services属性（HashMap<String,Service>类型），对于每个Service对象，调用其logOutOfService方法，在此方法中，通过HttpURLConnection访问Service的originUrl属性标识的URL，客户应用端的SingleSignOutFilter截获此请求，将本地的session失效掉，从而达到单点登录的效果。

      这里就有个问题了，Service的originUrl属性的值是CAS客户应用第一次redirect 到CAS时，传来的service参数的值，如http://cms.company.com。CAS通过HttpURLConnection访问http://cms.company.com时，客户应用的集群环境如何知道该把请求转发到哪台服务器上？如果我们什么都不做，那转发到哪台服务器上是随机的，这样的话，客户应用的session就不可能销毁。

      对于这个问题，我的解决办法是对CAS做了一定的修改。在客户应用第一次redirect到CAS时，我在service参数里加上了客户应用的sessionid值，如：https://cas.company.com?service=http://cms.company.com;jsessionid=.......。这样，CAS服务端生成的Service对象的originUrl属性的值就等于http://cms.company.com;jsessionid=....... 。单点退出时，CAS通过HttpURLConnection访问客户应用时，首先从originUrl中解析出jsessionid的值，然后将其放入HttpURLConnection对象的requestProperty中去，代码如下：

String jsessionid = "jsessionid="+WebUtils.extranctJsessionIdFromUrl(url);
connection.setRequestProperty("Cookie",jsessionid);

 

      这样，客户应用接收到此请求时，会得到sessionid值，然后根据sessionid值，将请求转发到正确的服务器上。这样，就解决了集群问题。

 

二 CAS服务本身是集群环境

      CAS服务是集群环境时，如果我们什么都不做，客户应用第一次redirect到CAS，生成TGT对象的服务器，和后来客户应用为了验证Ticket,而访问的CAS服务器，有可能不是一台，这样的话，肯定会失败。如果我们使用memcached这样的集群缓存插件，将TGT、ST对象统一存储，那这个问题就迎刃而解了。

 

 

评论

10 楼 renlei413326889 2014-11-19  

服务正确的退出系统了-->无法正确的退出了 通过map获取不了session了

9 楼 renlei413326889 2014-11-19  

客户应用接收到此请求时，会得到sessionid值，然后根据sessionid值，将请求转发到正确的服务器上。这样，就解决了集群问题。

请教一下 你说的客户应用接收到此请求，应该是说nginx或者其他反向代理服务器根据sessionid转发到正确的集群中的那台服务器吧？

还有我看客户端源码的时候，session和st是通过map绑定关系的，cas发送退出请求的时候是附加发送了xml文本包含st，然后客户端通过st找到session；这里有个问题，如果集群中正确的这台服务器重启了，session和st绑定关系的map是在内存的，这时候相关的绑定关系也没有了，服务正确的退出系统了

8 楼 howesen 2011-11-01  

我们在WAS 6.1集群下是正常的

7 楼 koubi1986 2011-10-12  

你好，我现在cas集群的时候也遇到问题。
我是用LVS+memcache+Tomcat来做的。
LVS做负载均衡，Tomcat我也做了session的复制功能
但是cas里面Ticket数据始终没有共享。

6 楼 轻草飞翔 2010-10-19  

请问在cas_server的集群这块，你做了吗？

5 楼 zhenkm0507 2010-01-26  

kscn_com 写道

通过配置jboss也能实现，不需要更改源代码。

能否提供一下配置说明，让我也学习学习，谢谢啊。

4 楼 kscn_com 2010-01-24  

通过配置jboss也能实现，不需要更改源代码。

3 楼 kscn_com 2010-01-19  

我也是在client是集群环境下时，单点退出不起作用的情况，能不能将这块的修改详细说明一下，我的邮箱是zhenyu82.he@gmail.com

2 楼 zhenkm0507 2010-01-18  

我用的是3.3版本

1 楼 kscn_com 2010-01-17  

你用的cas是什么版本啊