使用sso(cas)的时候报单点登录service不匹配问题分析及解决

最近在使用portal做企业门户网站,其中使用了sso。在集成了多个应用之后在portal中点击集成的应用报错

2017-05-31 08:37:16,950 ERROR [org.jasig.cas.CentralAuthenticationServiceImpl] -
<ServiceTicket [ST-3-eajOL4HrCjCEmMVFKm57] with service [http://10.80.18.105:80
86/XXX/XXX? does not match supplied service [http://10.80.18.105:8086/XXX/XXX]>

这里注意报错中访问url多了个‘?’

分析:Cas Server端解析出的service URL前后相差了一个“?”,怀疑是cas client在新版tomcat下生成 service URL时出现问题,检查client代码,定位到edu.yale.its.tp.cas.client.Util的getService方法

if (request.getQueryString() != null)
{
    int ticketLoc = request.getQueryString().indexOf("ticket=");
    if (ticketLoc == -1)
        sb.append((new StringBuilder("?")).append(request.getQueryString()).toString());
    else
    if (ticketLoc > 0)
    {
        ticketLoc = request.getQueryString().indexOf("&ticket=");
        if (ticketLoc == -1)
            sb.append((new StringBuilder("?")).append(request.getQueryString()).toString());
        else
        if (ticketLoc > 0)
            sb.append((new StringBuilder("?")).append(request.getQueryString().substring(0, ticketLoc)).toString());
    }
}

发现对于没有参数的http请求,request.getQueryString()函数在Tomcat5.5.15中是返回null,而5.5.16中是返回""。直接加上对空string判断的逻辑,问题解决。

修改jar包里的edu.yale.its.tp.cas.client.Util.class(反编译jar,修改util类后再编译替换jar包中的util.class)。

if (request.getQueryString() != null && !"".equals(request.getQueryString()))

问题解决。

时间: 2024-10-13 09:15:01

使用sso(cas)的时候报单点登录service不匹配问题分析及解决的相关文章

SSO 基于Cookie+fliter实现单点登录(SSO):工作原理

SSO的概念: 单点登录SSO(Single Sign-On)是身份管理中的一部分.SSO的一种较为通俗的定义是:SSO是指访问同一服务器不同应用中的受保护资源的同一用户,只需要登录一次,即通过一个应用中的安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证. SSO的用途: 目前的企业应用环境中,往往有很多的应用系统,淘宝.天猫.爱淘宝等等产品和如办公自动化(OA)系统,财务管理系统,档案管理系统,信息查询系统等等.这些应用系统服务于企业的信息化建设,为企业带来了很好的效益.但是,

SQL2008无法连接到.\SQLEXPRESS,用户&#39;sa&#39;登录失败(错误18456)图文解决方法

出现问题 : 标题: 连接到服务器------------------------------无法连接到 .\SQLEXPRESS.------------------------------其他信息:用户 'sa' 登录失败. (Microsoft SQL Server,错误: 18456)   解决方法:  1.打开数据库——用Windows身份登录数据库   02.登录名——双击sa(打开属性)  03.常规——设置密码——确定  04.状态——登录:启用——确定  05. 右击服务器名—

客户端登录提示 :拒绝访问Temp目录解决方法

系统环境搭建好后,在客户端运行,登录提示:拒绝访问Temp目录解决方法,IIS apppool\oaserver没有访问temp目录的权限. 引起原因:因为服务端目录Temp权限不足解决方法:把 C:\Windows\Temp 目录设 为IIS_IUSRS权限即可. 原文地址:http://bbs.delit.cn/thread-729-1-1.html 转载请注明出处: 撰写人:度量科技http://www.delit.cn

简单谈谈为什么国内不能登录Facebook/youtube等国外网站以及解决方法

简单谈谈为什么国内不能登录Facebook/youtube等国外网站以及解决方法让我们来简单地回顾一下近几年的互联网,自从Google对微软步步紧逼之后,国外互联网风起云涌,先后出现了Twitter.Facebook.Youtube等超级巨无霸,这些巨大无朋的互联网公司几乎是一夜之间出现在我们眼前.基本上这几家公司都是在2004年左右创办的, 2004年2月,Facebook由哈佛大学的学生Mark Zuckerberg创办,时隔一年,Youtube于2005年2年由Paypal的三个前员工Ch

SQL Server 用户&#39;sa&#39;登录失败(错误18456)图文解决方法

SQL2008 用户'sa'登录失败(错误18456)图文解决方法 SQL2008无法连接到.\SQLEXPRESS,用户'sa'登录失败(错误18456)图文解决方法 出现问题 : 标题: 连接到服务器 ------------------------------ 无法连接到 .\SQLEXPRESS. ------------------------------ 其他信息: 用户 'sa' 登录失败. (Microsoft SQL Server,错误: 18456) 解决方法: 1.打开数据

单点登录(两种单点登录类型:SSO/CAS、相同一级域名的SSO)

单点登录:SSO(Single Sign On) 什么是单点登录:大白话就是多个网站共享一个用户名和密码的技术,对于普通用户来说,只需要登录其中任意一个网站,登录其他网站的时候就能够自动登陆,不需要再输入 用户名和密码了. 单点登录类型: 1.具有相同一级域名的多个网站,以新浪为例,新浪首页实际上是一个导航页面,它提供了很多很多的旗下网站地址,比如 (1)新浪新闻: http://news.sina.com.cn/ (2)新浪科技:http://tech.sina.com.cn/ (3)新浪博客

SSO CAS单点登录搭建详细步骤及源码

1.因为是本地模拟sso环境,而sso的环境测试需要域名,所以需要虚拟几个域名出来,步骤如下: 2.进入目录C:\Windows\System32\drivers\etc 3.修改hosts文件 127.0.0.1 jeesz.cn 127.0.0.1 sso1.jeesz.cn 127.0.0.1 sso2.jeesz.cn 4.生成认证证书 注意:我们可以根据sso单点登录的架构图可以看到,在客户端和服务端进行交互的时候,是需要认证的,在这里我们使用jdk中的keytool方案生成证书(一般

【Java EE 学习第68天】【单点登录】【两种单点登录类型:SSO/CAS、相同一级域名的SSO】

什么是单点登录:大白话就是多个网站共享一个用户名和密码的技术,对于普通用户来说,只需要登录其中任意一个网站,登录其他网站的时候就能够自动登陆,不需要再输入用户名和密码了. 单点登录类型: 1.具有相同一级域名的多个网站,以新浪为例,新浪首页实际上是一个导航页面,它提供了很多很多的旗下网站地址,比如 (1)新浪新闻: http://news.sina.com.cn/ (2)新浪科技:http://tech.sina.com.cn/ (3)新浪博客:http://blog.sina.com.cn/

CAS 4.0.x 自定义登录页面

版权声明:本文为博主原创文章,未经博主允许不得转载. 目录(?)[-] CAS默认登录页面 复制一个新的页面管理页面 修改页面引用 修改casproperties 修改casLoginViewjsp页面 用过 CAS 的人都知道 CAS-Server端是单独部署的,作为一个纯粹的认证中心.在用户每次登录时,都需要进入CAS-Server的登录页填写用户名和密码登录,但是如果存在多个子应用系统时,它们可能都有相应风格的登录页面,我们希望直接在子系统中登录成功,而不是每次都要跳转到CAS的登录页去登