Как сделать пользователя недействительным на сервере CAS
Я внедряю сервер CAS 4.0 для единого входа. У меня есть 3 приложения (Spring Web MVC с безопасностью Spring CAS) подключиться к серверу CAS. Я настраиваю сервер CAS для управления тикетом по JPA и проверяю аутентификацию в CAS по имени пользователя. В настоящее время я создаю функцию забытого пароля для своих приложений, и теперь моя проблема заключается в том, чтобы сделать недействительными пользовательские файлы cookie/ сеанс на сервере CAS (или выйти из них) после сброса пароля (при этом он может войти в систему пользователем и выполнить забытый пароль). пароль для другого пользователя). Можем ли мы сделать это с помощью CAS? Любая помощь будет очень признательна. Спасибо вам, ребята.
1 ответ
Я внедрил cas 3.1, и вот что я делаю:
Метод Контроллера
@RequestMapping(value = "/onCompletePasswordReset.html", method = RequestMethod.GET)
public String completeResetLicense() {
return "redirect:j_spring_security_logout";
}
Spring Security
<http auto-config='true' entry-point-ref="casEntryPoint">
<intercept-url pattern="/**" access="ROLE_ADMINISTRATORS" />
<custom-filter position="CAS_FILTER" ref="casFilter" />
<logout logout-success-url="/j_spring_cas_security_logout" />
<custom-filter ref="requestSingleLogoutFilter" before="LOGOUT_FILTER" />
<custom-filter ref="singleLogoutFilter" before="CAS_FILTER" />
</http>
<beans:bean id="singleLogoutFilter"
class="org.jasig.cas.client.session.SingleSignOutFilter" />
<beans:bean id="requestSingleLogoutFilter"
class="org.springframework.security.web.authentication.logout.LogoutFilter">
<beans:constructor-arg value="https://cas_server:8443/cas/logout" />
<beans:constructor-arg>
<beans:bean
class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler" />
</beans:constructor-arg>
<beans:property name="filterProcessesUrl" value="/j_spring_cas_security_logout" />
</beans:bean>