需求:张三在自己电脑上登录了admin帐号,然后又去李四电脑上登录帐号,登录成功后系统踢出张三电脑上的帐号认证。
方案:每次在CAS服务端登录成功时记录当前登录帐号(唯一)(List<String>)。每次登录操作之前,验证当前登录帐号是否存在缓存中,如果存在就去找CAS的ticket缓存(我是直接用的CAS的缓存机制,有心人可以自己封装缓存信息),然后遍历缓存找到当前用户匹配的ticket,找到后执行ticket过期操作,同时在缓存中删除当前ticket。
为了方便广大不研究源码的伸手党,我把代码贴出来:
/*** * 通过username去找缓存判断该用户是否已经登陆过 * 登陆过找到该用户对应的TGT * 调用logout进行注销操作 */ if(CacheUtil.users.contains(username)){ final Collection<Ticket> ticketsInCache = this.ticketRegistry.getTickets(); for (final Ticket ticket : ticketsInCache) { TicketGrantingTicket t = null; try { t = (TicketGrantingTicketImpl)ticket; }catch (Exception e){ t = ((ServiceTicketImpl)ticket).getGrantingTicket(); } if(t.getAuthentication().getPrincipal().getId().equals(username) && t.getId()!=null){ /*** * 注销方法一 * 涉及到cookie的删除,但是无法获取response * 该方法有待考究 * 未测试 */ // centralAuthenticationService.destroyTicketGrantingTicket(t.getId()); /*** * 注销方法二 */ t.expire(); ticketRegistry.deleteTicket(t.getId()); CacheUtil.users.remove(username); } } }在4.x中,注销方法做了更新: t. markTicketExpired()