CAS提供可擴充套件的ticket過期策略,支援ticket-granting tickets (TGT)和service tickets (ST)的配置。
CAS客戶端儲存使用者資訊一般使用session,因此客戶端使用者登入過期時間應該還取決於客戶端session的過期時間。
一、TGT的過期策略
1、TimeoutExpirationPolicy
CAS預設使用該策略作為TGT的過期策略,該策略與session的過期策略類似,超過設定的時間需要使用者重新登入獲取認證票據。
該策略支援引數
- timeToKillInMilliSeconds:最大空閒時間(使用者處於不活動狀態),以毫秒為單位
配置示例,設定過期時間為2小時:
<bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.TimeoutExpirationPolicy"> <constructor-arg index="0" value="7200000" /> </bean>
2、HardTimeoutExpirationPolicy
該策略設定認證票據的有效時間段,無論使用者是否處於不活動狀態,認證票據都會過期。
該策略支援引數
- timeToKillInMilliSeconds:最大空閒時間(使用者處於不活動狀態),以毫秒為單位
配置示例,設定過期時間為2小時:
<bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.HardTimeoutExpirationPolicy"> <constructor-arg index="0" value="7200000" /> </bean>
3、ThrottledUseAndTimeoutExpirationPolicy
該策略整合自TimeoutExpirationPolicy,可以配置每個票據每隔一段時間要被使用一次。可以防止惡意攻擊和誤配置引發的瞬時大量ST票據請求導致CAS伺服器崩潰。
該策略支援引數
- timeToKillInMilliSeconds:最大空閒時間(使用者處於不活動狀態),以毫秒為單位
- timeInBetweenUsesInMilliSeconds:連續使用票據的最小時間,以毫秒為單位
配置示例,設定過期時間為3小時,連續使用票據的最小時間設定為5秒:
<bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.ThrottledUseAndTimeoutExpirationPolicy" p:timeToKillInMilliSeconds="10800000" p:timeInBetweenUsesInMilliSeconds="5000" />
4、NeverExpiresExpirationPolicy
認證票據永不過期。配置示例如下:
<bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.NeverExpiresExpirationPolicy" />
5、RememberMeDelegatingExpirationPolicy
登入時可以設定記住使用者,使用者下次訪問CAS時不需要再次登入。該策略在CAS 3.2.1之後的版本才支援,需要配置如下:
1)AuthenticationManager需要增加AuthenticationMetaDataPopulator的配置
<property name="authenticationMetaDataPopulators"> <list> <bean class="org.jasig.cas.authentication.principal.RememberMeAuthenticationMetaDataPopulator" /> </list> </property>
2)修改登入流程
login-webflow.xml
定位credentials var節點,原始配置如下:
<var name="credentials" class="org.jasig.cas.authentication.principal.UsernamePasswordCredentials" />
將其修改為:
<var name="credentials" class="org.jasig.cas.authentication.principal.RememberMeUsernamePasswordCredentials" />
定位viewLoginForm bean,原始配置可能是:
<view-state id="viewLoginForm" view="casLoginView" model="credentials"> <binder> <binding property="username" /> <binding property="password" /> </binder> <on-entry> <set name="viewScope.commandName" value="'credentials'" /> </on-entry> <transition on="submit" bind="true" validate="true" to="realSubmit"> <evaluate expression="authenticationViaFormAction.doBind(flowRequestContext, flowScope.credentials)" /> </transition> </view-state>
修改為:
<view-state id="viewLoginForm" view="casLoginView" model="credentials"> <binder> <binding property="username" /> <binding property="password" /> <binding property="rememberMe" /> </binder> <on-entry> <set name="viewScope.commandName" value="'credentials'" /> </on-entry> <transition on="submit" bind="true" validate="true" to="realSubmit"> <evaluate expression="authenticationViaFormAction.doBind(flowRequestContext, flowScope.credentials)" /> </transition> </view-state>
3)修改ticket過期策略
ticketExpirationPolicies.xml
<bean id="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.RememberMeDelegatingExpirationPolicy"> <property name="sessionExpirationPolicy"> <bean class="org.jasig.cas.ticket.support.TimeoutExpirationPolicy"> <constructor-arg index="0" value="XXXXXXXX" /> </bean> </property> <property name="rememberMeExpirationPolicy"> <bean class="org.jasig.cas.ticket.support.TimeoutExpirationPolicy"> <constructor-arg index="0" value="XXXXXXXX" /> </bean> </property> </bean>
二、ST的過期策略
MultiTimeUseOrTimeoutExpirationPolicy:預設策略,可以設定使用者空閒時間最大值或票證使用次數最大值。
該策略支援引數
- numberOfUses:票證最大使用次數,超過此次數,ST將過期
- timeToKillInMilliSeconds:最大空閒時間(使用者處於不活動狀態),以毫秒為單位
配置示例,設定過期時間為5分鐘,票據只允許使用一次:
<bean id="serviceTicketExpirationPolicy" class="org.jasig.cas.ticket.support.MultiTimeUseOrTimeoutExpirationPolicy"> <constructor-arg index="0" value="1" /> <constructor-arg index="1" value="300000" /> </bean>