基于CAS的SSO单点登录-实现ajax跨域访问的自动登录（也相当于超时重连）

先补课，以下网址可以把CAS环境搭起来。

【JA-SIG CAS服务环境搭建】http://linliangyi2007.iteye.com/blog/165307

【JA-SIG CAS业务架构介绍】http://linliangyi2007.iteye.com/blog/165310

【JA-SIG CAS技术框架】http://linliangyi2007.iteye.com/blog/165313

【抓包分析】http://blog.csdn.net/clh604/article/details/20365967

【问题背景】两个系统的整合就不说了，简单来说就是网页放在NginX上，但是ajax调用tomcat的API获取数据，其中tomcat段用CAS做身份认证。具体使用的是org.jasig.cas.client，配置会略有不同就不展开了。

【问题描述】ajax调用不允许跨域访问，如果在该容器中未CAS登陆（没有ticket）则会遇到以下错误。

XMLHttpRequest cannot load [CAS服务器地址] No 'Access-Control-Allow-Origin' header is present on the requested resource. Origin [应用地址] is therefore not allowed access.

【非ajax请求具体的跳转请求】就是标准的跳转，不上图了：

请求1：http访问tomcat。结果：302重定向指向CAS服务器

请求2：访问CAS服务器，带上CASTGC。结果：302重定向指向tomcat并带上ticket

请求3：访问tomcat，带上ticket。结果：200返回资源

【ajax请求具体的跳转请求】：

请求1：ajax访问tomcat。结果：302重定向指向CAS服务器

请求2：访问CAS服务器，带上CASTGC。结果：200返回无内容，浏览器提示错误（chrome）

跨域访问规则Access-Control-Allow-Origin是在CAS服务器配置的，项目无法更改。

【参考的解决方法】

a.在session超时的情况下发ajax请求。返回200正常，并在json中指定状态码302和login.action地址

b.访问login.action。302重定向指向CAS服务器

c.访问CAS服务器登录授权。302重定向回login.action

d.访问login.action带有ticket。302重定向next_page（即一开始ajax请求的页）

e.访问next_page刷新整个页

【具体解决过程】

1.修改CAS授权过滤器，session无效的ajax请求先返回200正常，并在json中指定业务错误码session_lost

继承修改AuthenticationFilter的doFilter方法：

a.如果session中有assertion，通过，进入下一层（tomcat端向CAS服务器验证ticket）

b.（无assertion）如果有ticket，通过，进入下一层filter（tomcat端向CAS服务器验证ticket）

c.（无assertion无ticket）普通http请求，重定向到CAS服务器

d.（无assertion无ticket）ajax请求，返回200并在json中指定session_lost

e.改配置web.xml，指向新的AuthenticationFilter类，并且serverName要与NginX的域名匹配

2.在js的callback中处理session_lost，将网址定位到/login.action

window.location.href=/app/login.action

3.在java的/autoLogin中重新登录并根据参数next_page重定向，完成登录和刷新

（因为是普通http请求，会先跳转到CAS登录，回来建立session信息，然后再跳转到用户本来的页面）

【其中一些细节问题】

a.通过检查请求头的"X-Requested-With"为"XMLHttpRequest"鉴别是ajax调用

b./login.action中要判断nextpage避免指向自己，若"/login.action?nextpage=/login.action"会导致死循环，爆栈很欢乐～

c.登录后cookies对JSESSIONID写入不对也会导致session找不到而死循环，一番排查后发现Tomcat写入的cookies匹配的path是应用路径，而网页上匹配的是根路径，所以需要手动写cookies把JSESSIONID匹配path为"/"。

d.web.xml中serverName要与网页域名匹配（因为这里经过了DNS和反向代理），否则会报登录的service与当前访问的service（即域名）不匹配的错误。

e.几种跳转方式的区分

request.getRequestDispatcher(str).forward(request, response);
---服务器内部跳转，路径从应用开始算，即"/"等效于 "http://域名/应用/"

response.sendRedirect(str);
---浏览器端302重定向，参数为完整地址。

@Controller实例的方法中的return str;
---服务器内部加载页面，路径从应用开始算。

@Controller实例的方法中的return "redirect:/";
---浏览器端302重定向，但是路径从应用开始算。

浏览器端js中window.location.href
---浏览器本窗口打开页面，路径从域名后开始计算，即"/"等效于 "http://域名/"

f.warnning：第一个是CSRF风险即cookies被盗用，电脑入域或网络隔离可规避；第二个是serverName配置是写死在web.xml上，改域名就要重新部署应用，可改为配置。

完事，可以ajax随便愉快玩耍了～