Shiro & CAS 实现单点登录

概览

单点登录主要用于多系统集成,即在多个系统中,用户只需要到一个中央服务器登录一次即可访问这些系统中的任何一个,无须多次登录。

本文使用开源框架Jasig CAS来完成单点登录。下载地址:https://www.apereo.org/cas/download。在写本文时,使用的cas server版本为4.0.1

部署服务器

本文服务器使用Tomcat7,下载了cas-server-4.0.0-release.zip,将其解压,找到modules目录下面的cas-server-webapp-4.0.0.war直接复制到webapps文件夹下即可。启动Tomcat,访问http://localhost:8080/cas-server-webapp-4.0.0,使用casuser/Mellon登录,即可登录成功。

Tomcat默认没有开启HTTPS协议,所以这里直接用了HTTP协议访问。为了能使客户端在HTTP协议下单点登录成功,需要修改一下配置:

  • WEB-INF\spring-configuration\ticketGrantingTicketCookieGenerator.xml和WEB-INF\spring-configuration\warnCookieGenerator.xml:将p:cookieSecure="true"改为p:cookieSecure="false"
  • WEB-INF\deployerConfigContext.xml:<bean class="org.jasig.cas.authentication.handler.support.HttpBasedServiceCredentialsAuthenticationHandler" p:httpClient-ref="httpClient" />添加p:requireSecure="false"

至此,一个简单的单点登录服务器就基本部署好了。

部署客户端

客户端需要添加对shiro-cas和cas-client-core这两个包的依赖。这里主要讲跟CAS相关的配置。

之后配置web.xml

1
2
3
4
5
6
7
8
9
10
11
12
13
<!– 用于单点退出,该过滤器用于实现单点登出功能,可选配置。–>
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<!– 该过滤器用于实现单点登出功能,可选配置。 –>
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

自定义Realm:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
public class MyCasRealm extends CasRealm {
private UserService userService;
public void setUserService(UserService userService) {
this.userService = userService;
}
@Override
protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principals) {
String username = (String)principals.getPrimaryPrincipal();
SimpleAuthorizationInfo authorizationInfo = new SimpleAuthorizationInfo();
authorizationInfo.setRoles(userService.findRoles(username));
authorizationInfo.setStringPermissions(userService.findPermissions(username));
return authorizationInfo;
}
}

配置

1
2
3
4
5
6
7
8
9
10
11
12
13
<bean id=“casRealm” class=“package.for.your.MyCasRealm”>
<property name=“userService” ref=“userService”/>
<property name=“cachingEnabled” value=“true”/>
<property name=“authenticationCachingEnabled” value=“true”/>
<property name=“authenticationCacheName” value=“authenticationCache”/>
<property name=“authorizationCachingEnabled” value=“true”/>
<property name=“authorizationCacheName” value=“authorizationCache”/>
<!–该地址为cas server地址 –>
<property name=“casServerUrlPrefix” value=“${shiro.casServer.url}/>
<!– 该地址为是当前应用 CAS 服务 URL,即用于接收并处理登录成功后的 Ticket 的,
必须和loginUrl中的service参数保持一致,否则服务器会判断service不匹配–>
<property name=“casService” value=“${shiro.client.cas}/>
</bean>

配置CAS过滤器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<bean id=“casFilter” class=“org.apache.shiro.cas.CasFilter”>
<property name=“failureUrl” value=“/casFailure.jsp”/>
</bean>
<bean id=“shiroFilter” class=“org.apache.shiro.spring.web.ShiroFilterFactoryBean”>
<property name=“securityManager” ref=“securityManager”/>
<property name=“loginUrl” value=“${shiro.login.url}”/>
<property name=“successUrl” value=“${shiro.login.success.url}”/>
<property name=“filters”>
<util:map>
<entry key=“cas” value-ref=“casFilter”/>
<entry key=“logout” value-ref=“logoutFilter” />
</util:map>
</property>
<property name=“filterChainDefinitions”>
<value>
/casFailure.jsp = anon
/cas = cas
/logout = logout
/** = user
</value>
</property>
</bean>

上面登录url我的配置的是http://localhost:8080/cas-server/login?service=http://localhost:8080/cas-client/cas,service参数是之后服务将会跳转的地址。

/cas=cas:即/cas 地址是服务器端回调地址,使用 CasFilter 获取 Ticket 进行登录。

之后通过eclipse部署,访问http://localhost:8080/cas-client 即可测试。为了看到单点登录的效果,可以直接复制一份webapps中的client为client2,只需要修改上述配置中的地址即可。如果用户已经登录,那么访问http://localhost:8080/cas-client2发现不会再跳转到登录页面了,用户已经是登录状态了。

还需要注意一个问题,就是cas server默认是开启单点登出的但是这里却没有这样的效果,APP1登出了,但是APP2仍能访问,如果查看浏览器的cookie的话,会发现有两个sessionid,一个是JSESSIONID,容器原生的,另一个是shiro中配置的:

1
2
3
4
5
6
7
<!– 会话Cookie模板 –>
<bean id=“sessionIdCookie” class=“org.apache.shiro.web.servlet.SimpleCookie”>
SingleSignOutFilter发现是logoutRequest请求后,原来SingleSignOutHandler中创建的原生的session已经被销毁了,因为从a登出的,a的shiro session也会销毁,
但是b的shiro的session还没有被销毁,于是再访问b还是能访问,单点登出就有问题了–>
<constructor-arg value=“JSESSIONID”/>
<property name=“httpOnly” value=“true”/>
<property name=“maxAge” value=“-1”/>

如果我们把sid改为JSESSIONID会怎么样,答案是如果改为JSESSIONID会导致重定向循环,原因是当登录时,shiro发现浏览器发出的请求中的JSESSIONID没有或已经过期,于是生成一个JSESSIONID给浏览器,同时链接被重定向到服务器进行认证,认证成功后返回到客户端服务器的cas service url,并且带有一个ticket参数。因为有SingleSignOutFilter,当发现这是一个tocken请求时,SingleSignOutHandler会调用request.getSession()获取的是原生Session,如果没有原生session的话,又会创建并将JSESSIONID保存到浏览器cookie中,当客户端服务器向cas服务器验证ticket之后,客户端服务器重定向到之前的页面,这时shiro发现JSESSIONID是SingleSignOutHandler中生成的,在自己维护的session中查不到,又会重新生成新的session,然后login,然后又会重定向到cas服务器认证,然后再重定向到客户端服务器的cas service url,不同的是SingleSignOutHandler中这次调用session.getSession(true)不会新创建一个了,之后就如此循环。如果使用sid又会导致当单点登出时候,如果有a、b两个客户端服务器,从a登出,会跳转到cas服务器登出,cas服务器会对所有通过它认证的service调用销毁session的方法,但是b的shiro的session还没有被销毁,于是再访问b还是能访问,单点登出就有问题了

之所以这样是因为我设置shiro的session管理器为DefaultWebSessionManager,这个管理器直接抛弃了容器的session管理器,自己来维护session,所以就会出现上述描述的问题了。如果我们不做设置,那么shiro将使用默认的session管理器ServletContainerSessionManager:Web 环境,其直接使用 Servlet 容器的会话。这样单点登出就可以正常使用了。

此外如果我们非要使用DefaultWebSessionManager的话,我们就要重写一个SingleSignOutFilter、SingleSignOutHandler和SessionMappingStorage了。

如果没有使用Spring框架,则可以参考如下配置web.xml

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
<?xml version=“1.0” encoding=“UTF-8”?>
<web-app xmlns:xsi=http://www.w3.org/2001/XMLSchema-instance
xmlns=http://java.sun.com/xml/ns/javaee xmlns:web=http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd
xsi:schemaLocation=http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd
id=“WebApp_ID” version=“2.5”>
<display-name>YPshop Authority Manage</display-name>
<context-param>
<param-name>webAppRootKey</param-name>
<param-value>authority.root</param-value>
</context-param>
<!– ======================== 单点登录开始 ======================== –>
<!– 说明:这种客户端的配置方式是不需要Spring支持的 –>
<!– 参考资料:http://blog.csdn.net/yaoweijq/article/details/6003187 –>
<listener>
<listener-class>org.jasig.cas.client.session.SingleSignOutHttpSessionListener</listener-class>
</listener>
<filter>
<filter-name>CAS Single Sign Out Filter</filter-name>
<filter-class>org.jasig.cas.client.session.SingleSignOutFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Single Sign Out Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>CAS Authentication Filter</filter-name>
<filter-class>org.jasig.cas.client.authentication.AuthenticationFilter</filter-class>
<init-param>
<param-name>casServerLoginUrl</param-name>
<param-value>https://localhost:8443/cas-server/login</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>https://localhost:8443</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Authentication Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>CAS Validation Filter</filter-name>
<filter-class>org.jasig.cas.client.validation.Cas20ProxyReceivingTicketValidationFilter</filter-class>
<init-param>
<param-name>casServerUrlPrefix</param-name>
<param-value>https://localhost:8443/cas-server</param-value>
</init-param>
<init-param>
<param-name>serverName</param-name>
<param-value>https://localhost:8443</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>CAS Validation Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!– 该过滤器使得开发者可以通过org.jasig.cas.client.util.AssertionHolder来获取用户的登录名。 比如AssertionHolder.getAssertion().getPrincipal().getName()。 –>
<filter>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<filter-class>org.jasig.cas.client.util.AssertionThreadLocalFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>CAS Assertion Thread Local Filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!– ======================== 单点登录结束 ======================== –>
<welcome-file-list>
<welcome-file>index.html</welcome-file>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>
<distributable />
</web-app>

进阶

使用HTTPS协议

首先我们需要生成数字证书

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
keytool -genkey -keystore “D:\localhost.keystore” -alias localhost -keyalg RSA
输入密钥库口令:
再次输入新口令:
您的名字与姓氏是什么?
[Unknown]: localhost
您的组织单位名称是什么?
[Unknown]: xa
您的组织名称是什么?
[Unknown]: xa
您所在的城市或区域名称是什么?
[Unknown]: xi’an
您所在的省/市/自治区名称是什么?
[Unknown]: xi’an
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=localhost, OU=xa, O=xa, L=xi’an, ST=xi’an, C=cn 是否正确
?
[]: y
输入 <localhost> 的密钥口令
(如果和密钥库口令相同, 按回车):

需要注意的是 “您的名字与姓氏是什么?”这个地方不能随便填的,如果运行过程中提示“Caused by: java.security.cert.CertificateException: No name matching localhost found”那么就是因为这里设置错了,当然除了localhost也可以写其他的,如helloworld.com,但是需要能解析出来,可以直接在hosts中加127.0.0.1 helloworld.com

然后,由于Tomcat默认没有开HTTPS,所以我们需要在server.xml文件中找到8443出现的地方。然后修改如下

1
2
3
4
<Connector port=“8443” protocol=“HTTP/1.1” SSLEnabled=“true”
maxThreads=“150” scheme=“https” secure=“true”
clientAuth=“false” sslProtocol=“TLS”
keystoreFile=“D:\localhost.keystore” keystorePass=“123456”/>

keystorePass 就是生成 keystore 时设置的密码。

如果出现下面的问题,修改server.xml中的protocol为org.apache.coyote.http11.Http11Protocol

Failed to initialize end point associated with ProtocolHandler [“http-apr-8443”]
java.lang.Exception: Connector attribute SSLCertificateFile must be defined when using SSL with APR

因为 CAS client 需要使用该证书进行验证,所以我们要使用 localhost.keystore 导出数字证书(公钥)到 D:\localhost.cer。再将将证书导入到 JDK 中。

1
2
3
keytool -export –alias localhost -file D:\localhost.cer -keystore D:\localhost.keystore
cd D:\jdk1.7.0_21\jre\lib\security
keytool -import –alias localhost -file D:\localhost.cer -noprompt -trustcacerts -storetype jks -keystore cacerts -storepass 123456

如果导入失败,可以先把 security 目录下的 cacerts 删掉

搞定证书之后,我们需要将之前client中配置的地址修改一下。然后还可以添加ssl过滤器。

如果遇到以下异常,一般是证书导入错误造成的,请尝试重新导入,如果还是不行,有可能是运行应用的 JDK 和安装数字证书的 JDK 不是同一个造成的:

Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

单点登出重定向

客户端中配置logout过滤器

1
2
3
<bean id=“logoutFilter” class=“org.apache.shiro.web.filter.authc.LogoutFilter”>
<property name=“redirectUrl” value=“${shiro.logout.url}”/>
</bean>

WEB-INF/cas-servlet.xml中将 cas.logout.followServiceRedirects修改为true即可在登出后重定向到service参数提供的地址

单点登出

单点登出重定向是很好解决了,但是在客户端与shiro集成过程中,如客户端部署部分所述,如果shiro没有使用 ServletContainerSessionManager 管理session,单点登出就会有问题了。最简单奏效的办法就是改用 ServletContainerSessionManager 了,但是我们偏要用 DefaultWebSessionManager 呢,那就应该要参考org.jasig.cas.client.session这个包中的几个类,重新实现单点登出了。我的思路是,添加一个shiro过滤器,继承自AdviceFilter在preHandle方法中实现逻辑:如果请求中包含了ticket参数,记录ticket和sessionID的映射;如果请求中包含logoutRequest参数,标记session为无效;如果session不为空,且被标记为无效,则登出。如果请求中包含了logoutRequest参数,那么这个请求是从cas服务器发出的,所以这里不能直接用subject.logout(),因为subject跟线程绑定,客户端对cas服务器端的请求会创建一个新的subject。

那么CAS单点登出是怎么实现的呢,下面是我对CAS单点登出的简单理解:

在TicketGrantingTicketImpl有一个HashMap<string, service=””> services字段,以id和通过认证的客户端service为键值对。当我们要登出时LogoutManagerImpl通过for (final String ticketId : services.keySet())向每个service发送一个POST请求,请求中包含一个logoutRequest参数,参数的值由SamlCompliantLogoutMessageCreator创建。客户端的 SingleSignOutFilter会判断请求中是否包含了logoutRequest参数,如果包含,那么销毁session。SingleSignOutHttpSessionListener实现了javax.servlet.http.HttpSessionListener接口,用于监听session销毁事件。</string,>

我在配置的过程中发现单点登出有问题,首先在服务端打开 debug log,cas 服务器默认是打开单点登出功能的,所以正常的话日志中会记录<Sending logout request for: [https://localhost:8443/cas-client1/cas]>之类的内容,有日志记录发送了请求,一般服务器应该不会有什么问题了。那么有可能会是客户端的问题,我重新配置了一个客户端,这个客户端没有使用spring也没有使用shiro,只用了在部署客户端中提到的无spring的web.xml文件,发现从其他客户端登出,这个客户端也是登出的,所以这个配置是没有什么问题。后来在浏览器打开控制台才发现有两个SESSIONID一个是sid是在shiro中配置的,另一个是JSESSIONID,应该是容器原生的。再然后就下了3.2.2版本的cas-client-core,通过maven构建,导入eclipse中,开始调试。我们的cas-client要依赖这个cas-client-core工程,怎么设置可以参考eclipse小技巧。然后调试,一定要保证在cas-client的propertie 设置中的Deployment Assembly中已经没有之前的版本的cas-client-core的jar包了。调试的过程中才发现,SingleSignOutFilter销毁的是容器原生的session,但是shiro的session还在,所以如果是从其他客户端登出的,那这个客户端还是能够登录。

通过数据库中的用户密码认证

服务器端需要添加cas-server-support-jdbc和mysql-connector-java依赖。

cas-server-support-jdbc提供了org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler、org.jasig.cas.adaptors.jdbc.SearchModeSearchDatabaseAuthenticationHandler 和org.jasig.cas.adaptors.jdbc.QueryAndEncodeDatabaseAuthenticationHandler。他们都继承自AbstractJdbcUsernamePasswordAuthenticationHandler 能够通过配置sql语句验证用户凭证,后者更复杂些,能够配置盐,散列函数迭代次数。

下面说一下配置QueryDatabaseAuthenticationHandler,配置/src/main/webapp/WEB-INF/deployerConfigContext.xml,先注释掉原先的primaryAuthenticationHandler然后添加下面配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<!– 自定义数据库鉴权 –>
<bean id=“primaryAuthenticationHandler” class=“org.jasig.cas.adaptors.jdbc.QueryDatabaseAuthenticationHandler”>
<property name=“dataSource” ref=“dataSource”/>
<property name=“sql” value=“${auth.sql}/>
<property name=“passwordEncoder” ref=“MD5PasswordEncoder”/>
</bean>
<!– 数据源 –>
<bean id=“dataSource” class=“org.springframework.jdbc.datasource.DriverManagerDataSource”>
<property name=“driverClassName” value=“${dataSource.driver}></property>
<property name=“url” value=“${dataSource.url}/>
<property name=“username” value=“${dataSource.username}/>
<property name=“password” value=“${dataSource.password}/>
</bean>
<!– MD5加密 –>
<bean id=“MD5PasswordEncoder” class=“org.jasig.cas.authentication.handler.DefaultPasswordEncoder”>
<constructor-arg value=“MD5”/>
</bean>

加密算法可以自定义。

添加验证码

验证码的实现使用了kaptcha,所以需要添加其依赖。

web.xml添加如下配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<servlet>
<servlet-name>Kaptcha</servlet-name>
<servlet-class>com.google.code.kaptcha.servlet.KaptchaServlet</servlet-class>
<!– 设定宽度 –>
<init-param>
<param-name>kaptcha.image.width</param-name>
<param-value>100</param-value>
</init-param>
<!– 设定高度 –>
<init-param>
<param-name>kaptcha.image.height</param-name>
<param-value>50</param-value>
</init-param>
<!– 如果需要全部是数字 –>
<init-param>
<param-name>kaptcha.textproducer.char.string</param-name>
<param-value>0123456789</param-value>
</init-param>
<!– 去掉干扰线 –>
<init-param>
<param-name>kaptcha.noise.impl</param-name>
<param-value>com.google.code.kaptcha.impl.NoNoise </param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>Kaptcha</servlet-name>
<url-pattern>/captcha.jpg</url-pattern>
</servlet-mapping>

在login-webflow.xml中找到viewLoginForm,在binder节点下面添加<binding property="captcha" />,对应我们页面提交的验证码参数

然后我们还要实现一个UsernamePasswordCaptchaCredential 类,继承UsernamePasswordCredential 在其中添加了captcha字段和相应setter和getter方法。

1
2
3
4
5
6
7
8
public class UsernamePasswordCaptchaCredential extends UsernamePasswordCredential {
private static final long serialVersionUID = -2988130322912201986L;
@NotNull
@Size(min=1,message = “required.captcha”)
private String captcha;
//set、get方法
}

接着回到 login-webflow.xml ,找到credential的声明处,将org.jasig.cas.authentication.UsernamePasswordCredential修改为刚刚实现的类全路径名。viewLoginForm 也需要修改

1
2
3
<transition on=“submit” bind=“true” validate=“true” to=“validatorCaptcha”>
<evaluate expression=“authenticationViaFormAction.doBind(flowRequestContext, flowScope.credential)” />
</transition>

再添加如下配置

1
2
3
4
5
6
<!– 添加一个 validatorCaptcha 校验验证码的操作 –>
<action-state id=“validatorCaptcha”>
<evaluate expression=“authenticationViaFormAction.validatorCaptcha(flowRequestContext, flowScope.credential, messageContext)”></evaluate>
<transition on=“error” to=“generateLoginTicket” />
<transition on=“success” to=“realSubmit” />
</action-state>

我们在配置中添加了一个 validatorCaptcha 的操作,同时可以看到 expression 是 authenticationViaFormAction.validatorCaptcha(…),所以我们需要在 authenticationViaFormAction 中添加一个校验验证码的方法 validatorCaptcha()。authenticationViaFormAction 这个bean是配置在 cas-servlet.xml 中的:

1
2
3
4
<bean id=“authenticationViaFormAction” class=“org.jasig.cas.web.flow.AuthenticationViaFormAction”
p:centralAuthenticationService-ref=“centralAuthenticationService”
p:warnCookieGenerator-ref=“warnCookieGenerator”
p:ticketRegistry-ref=“ticketRegistry”/>

我们可以看看 org.jasig.cas.web.flow.AuthenticationViaFormAction 的源代码,里面有一个 submit 方法,这个就是我们提交表单时的方法了。继承AuthenticationViaFormAction实现一个新类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
public class MyAuthenticationViaFormAction extends AuthenticationViaFormAction{
public final String validatorCaptcha(final RequestContext context, final Credential credential,
final MessageContext messageContext){
final HttpServletRequest request = WebUtils.getHttpServletRequest(context);
HttpSession session = request.getSession();
String captcha = (String)session.getAttribute(com.google.code.kaptcha.Constants.KAPTCHA_SESSION_KEY);
session.removeAttribute(com.google.code.kaptcha.Constants.KAPTCHA_SESSION_KEY);
UsernamePasswordCaptchaCredential upc = (UsernamePasswordCaptchaCredential)credential;
String submitAuthcodeCaptcha =upc.getCaptcha();
if(!StringUtils.hasText(submitAuthcodeCaptcha) || !StringUtils.hasText(submitAuthcodeCaptcha)){
messageContext.addMessage(new MessageBuilder().code(“required.captcha”).build());
return “error”;
}
if(submitAuthcodeCaptcha.equals(captcha)){
return “success”;
}
messageContext.addMessage(new MessageBuilder().code(“error.authentication.captcha.bad”).build());
return “error”;
}
}

这边有抛出两个异常,这两个异常信息 required.captcha、error.authentication.captcha.bad 需要在 messages_zh_CN.properties 文件下添加

1
2
required.captcha=必须输入验证码。
error.authentication.captcha.bad=您输入的验证码有误。

然后把 authenticationViaFormAction 这个Bean路径修改为我们新添加的类的全路径名。

当然最后,我们的页面也需要修改,找到casLoginView.jsp添加

1
2
3
4
5
6
<section class=“row”>
<spring:message code=“screen.welcome.label.captcha.accesskey” var=“captchaAccessKey” />
<spring:message code=“screen.welcome.label.captcha” var=“captchaHolder” />
<form:input cssClass=“required” cssErrorClass=“error” id=“captcha” size=“10” tabindex=“3” path=“captcha” placeholder=“${captchaHolder } accesskey=“${captchaAccessKey} autocomplete=“off” htmlEscape=“true” />
<img alt=“${captchaHolder } src=“captcha.jpg” onclick=“this.src=’captcha.jpg?’+Math.random();”>
</section>

以上添加验证码参考http://www.cnblogs.com/vhua/p/cas_3.html

添加记住密码

可以参考http://jasig.github.io/cas/development/installation/Configuring-LongTerm-Authentication.html

在cas.properties中添加如下配置

1
2
# Long term authentication session length in seconds
rememberMeDuration=1209600

spring-configuration文件夹下找到 ticketExpirationPolicies.xml 和 ticketGrantingTicketCookieGenerator.xml 需要在这两个配置文件中定义长期有效的session

在 ticketExpirationPolicies.xml文件中更新如下配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<bean id=“standardSessionTGTExpirationPolicy”
class=“org.jasig.cas.ticket.support.TicketGrantingTicketExpirationPolicy”
p:maxTimeToLiveInSeconds=${tgt.maxTimeToLiveInSeconds:28800}
p:timeToKillInSeconds=${tgt.timeToKillInSeconds:7200}/>
<!–
| The following policy applies to long term CAS SSO sessions.
| Default duration is two weeks (1209600s).
–>
<bean id=“longTermSessionTGTExpirationPolicy”
class=“org.jasig.cas.ticket.support.TimeoutExpirationPolicy”
c:timeToKillInMilliSeconds=“#{ ${rememberMeDuration:1209600} * 1000 }” />
<bean id=“grantingTicketExpirationPolicy”
class=“org.jasig.cas.ticket.support.RememberMeDelegatingExpirationPolicy”
p:sessionExpirationPolicy-ref=“standardSessionTGTExpirationPolicy”
p:rememberMeExpirationPolicy-ref=“longTermSessionTGTExpirationPolicy” />

更新ticketGrantingTicketCookieGenerator.xml

1
2
3
4
5
6
<bean id=“ticketGrantingTicketCookieGenerator” class=“org.jasig.cas.web.support.CookieRetrievingCookieGenerator”
p:cookieSecure=“true”
p:cookieMaxAge=“-1”
p:rememberMeMaxAge=“${rememberMeDuration:1209600}”
p:cookieName=“CASTGC”
p:cookiePath=“/cas” />

在 deployerConfigContext.xml 中找到 PolicyBasedAuthenticationManager 使其包含RememberMeAuthenticationMetaDataPopulator组件

1
2
3
4
5
6
7
8
<property name=“authenticationMetaDataPopulators”>
<list>
<bean
class=“org.jasig.cas.authentication.SuccessfulHandlerMetaDataPopulator” />
<bean
class=“org.jasig.cas.authentication.principal.RememberMeAuthenticationMetaDataPopulator” />
</list>
</property>

和添加验证码类似的,我们还需要修改login-webflow.xml

找到credential 的声明修改如下

1
<var name=“credential” class=“org.jasig.cas.authentication.RememberMeUsernamePasswordCredential” />

由于之前已经实现了验证码,所以这里不需要修改了,只需让 UsernamePasswordCaptchaCredential继承RememberMeUsernamePasswordCredential即可

找到viewLoginForm 在binder节点下添加<binding property="rememberMe" />

更新 casLoginView.jsp

1
2
3
4
<section class=“row check”>
<input id=“rememberMe” name=“rememberMe” value=“false” tabindex=“4” accesskey=“<spring:message code=”screen.welcome.label.rememberMe.accesskey” />” type=“checkbox” />
<label for=“rememberMe”><spring:message code=“screen.welcome.label.rememberMe” /></label>
</section>

自定义primaryAuthenticationHandler

虽然已经有QueryDatabaseAuthenticationHandler和QueryAndEncodeDatabaseAuthenticationHandler两个类,能够通过配置sql语句验证用户凭证,后者还能配置盐,散列函数迭代次数。但是我们可能还需要判断用户是否被锁定或被禁用了,我们可以参考QueryAndEncodeDatabaseAuthenticationHandler自定义一个AuthenticationHandler,继承AbstractJdbcUsernamePasswordAuthenticationHandler。添加两个字段名lockedFieldName和disabledFieldName通过这两个字段判断用户是否被锁定或被禁用,关键代码如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
public class ValidUserQueryDBAuthenticationHandler extends AbstractJdbcUsernamePasswordAuthenticationHandler{
……
private static final String DEFAULT_LOCKED_FIELD = “locked”;
private static final String DEFAULT_DISABLED_FIELD = “disabled”;
……
@NotNull
protected String disabledFieldName = DEFAULT_DISABLED_FIELD;
@NotNull
protected String lockedFieldName = DEFAULT_LOCKED_FIELD;
……
public ValidUserQueryDBAuthenticationHandler(final DataSource datasource, final String sql, final String algorithmName) {
super();
setDataSource(datasource);
this.sql = sql;
this.algorithmName = algorithmName;
}
@Override
protected final HandlerResult authenticateUsernamePasswordInternal(final UsernamePasswordCredential transformedCredential)
throws GeneralSecurityException, PreventedException {
final String username = getPrincipalNameTransformer().transform(transformedCredential.getUsername());
try {
final Map<String, Object> values = getJdbcTemplate().queryForMap(this.sql, username);
if (Boolean.TRUE.equals(values.get(this.disabledFieldName))) {
throw new AccountDisabledException(username + ” has been disabled.”);
}
if (Boolean.TRUE.equals(values.get(this.lockedFieldName))) {
throw new AccountLockedException(username + ” has been locked.”);
}
final String digestedPassword = digestEncodedPassword(transformedCredential.getPassword(), values);
if (!values.get(this.passwordFieldName).equals(digestedPassword)) {
throw new FailedLoginException(“Password does not match value on record.”);
}
return createHandlerResult(transformedCredential,
new SimplePrincipal(username), null);
} catch (final IncorrectResultSizeDataAccessException e) {
if (e.getActualSize() == 0) {
throw new AccountNotFoundException(username + ” not found with SQL query”);
} else {
throw new FailedLoginException(“Multiple records found for “ + username);
}
} catch (final DataAccessException e) {
throw new PreventedException(“SQL exception while executing query for “ + username, e);
}
}
protected String digestEncodedPassword(final String encodedPassword, final Map<String, Object> values) {
final ConfigurableHashService hashService = new DefaultHashService();
if (StringUtils.isNotBlank(this.staticSalt)) {
hashService.setPrivateSalt(ByteSource.Util.bytes(this.staticSalt));
}
hashService.setHashAlgorithmName(this.algorithmName);
Long numOfIterations = this.numberOfIterations;
if (values.containsKey(this.numberOfIterationsFieldName)) {
final String longAsStr = values.get(this.numberOfIterationsFieldName).toString();
numOfIterations = Long.valueOf(longAsStr);
}
hashService.setHashIterations(numOfIterations.intValue());
if (!values.containsKey(this.saltFieldName)) {
throw new RuntimeException(“Specified field name for salt does not exist in the results”);
}
final String dynaSalt = values.get(this.saltFieldName)==null?“”:values.get(this.saltFieldName).toString();
final HashRequest request = new HashRequest.Builder()
.setSalt(dynaSalt)
.setSource(encodedPassword)
.build();
return hashService.computeHash(request).toHex();
}
public final void setDisabledFieldName(final String disabledFieldName) { this.disabledFieldName = disabledFieldName; }
public final void setLockedFieldName(final String lockedFieldName) { this.lockedFieldName = lockedFieldName; }
}

然后更新配置deployerConfigContext.xml

1
2
3
4
5
<bean id=“primaryAuthenticationHandler” class=“io.github.howiefh.cas.authentication.ValidUserQueryDBAuthenticationHandler”>
<constructor-arg ref=“dataSource” index=“0”></constructor-arg>
<constructor-arg value=“${auth.sql} index=“1”></constructor-arg>
<constructor-arg value=“MD5” index=“2”></constructor-arg>
</bean>

自定义登录页面

  1. 在cas.properties 修改 cas.viewResolver.basename 值为 custom_view ,那样系统就会自动会查找 custom_view.properties 这个配置文件
  2. 直接复制原来的 default_views.properties 就行了,重命名为custom_view.properties
  3. 把 custom_view.properties 中的WEB-INF\view\jsp\default全部替换把这地址替换成 WEB-INF\view\jsp\custom
  4. 接下来把 cas\WEB-INF\view\jsp\default 下面的所有文件复制,然后重命名为我们需要的名称,cas\WEB-INF\view\jsp\custom

主要修改casLoginView.jsp和cas.css即可

布局时遇到一个问题,就是将页脚固定在页面底部。可以参看如何将页脚固定在页面底部

其它

【SSO单点系列】(4):CAS4.0 SERVER登录后用户信息的返回
在多点环境下使用cas实现单点登陆及登出
关于单点登录中的用户信息存储问题的探讨

原理

从结构来看,CAS主要分为Server和Client。Server主要负责对用户的认证工作;Client负责处理客户端受保护资源的访问请求,登录时,重定向到Server进行认证。

基础模式的SSO访问流程步骤:

  1. 访问服务:客户端发送请求访问应用系统提供的服务资源。
  2. 定向认证:客户端重定向用户请求到中心认证服务器。
  3. 用户认证:用户进行身份认证
  4. 发放票据:服务器会产生一个随机的 Service Ticket 。
  5. 验证票据: SSO 服务器验证票据 Service Ticket 的合法性,验证通过后,允许客户端访问服务。
  6. 传输用户信息: SSO 服务器验证票据通过后,传输用户认证结果信息给客户端。

CAS最基本的协议过程:

CAS 最基本的协议过程CAS 最基本的协议过程

如上图: CAS Client 与受保护的客户端应用部署在一起,以 Filter 方式保护 Web 应用的受保护资源,过滤从客户端过来的每一个 Web 请求,同时, CAS Client 会分析 HTTP 请求中是否包含请求 Service Ticket( ST 上图中的 Ticket) ,如果没有,则说明该用户是没有经过认证的;于是 CAS Client 会重定向用户请求到 CAS Server ( Step 2 ),并传递 Service (要访问的目的资源地址)。 Step 3 是用户认证过程,如果用户提供了正确的 Credentials , CAS Server 随机产生一个相当长度、唯一、不可伪造的 Service Ticket ,并缓存以待将来验证,并且重定向用户到 Service 所在地址(附带刚才产生的 Service Ticket ) , 并为客户端浏览器设置一个 Ticket Granted Cookie ( TGC ) ; CAS Client 在拿到 Service 和新产生的 Ticket 过后,在 Step 5 和 Step6 中与 CAS Server 进行身份核实,以确保 Service Ticket 的合法性。

在该协议中,所有与 CAS Server 的交互均采用 SSL 协议,以确保 ST 和 TGC 的安全性。协议工作过程中会有两次重定向的过程。但是 CAS Client 与 CAS Server 之间进行 Ticket 验证的过程对于用户是透明的(使用 HttpsURLConnection )。

相关概念

TGT、ST、PGT、PGTIOU、PT,其中TGT、ST是CAS1.0协议中就有的票据,PGT、PGTIOU、PT是CAS2.0协议中有的票据。

CAS为用户签发登录票据,CAS认证成功后,将TGT对象放入自己的缓存,CAS生成cookie即TGC,自后登录时如果有TGC的话,则说明用户之前登录过,如果没有,则用户需要重新登录。

  • TGC (Ticket-granting cookie):存放用户身份认证凭证的cookie,在浏览器和CAS Server用来明确用户身份的凭证。
  • ST(Service Ticket):CAS服务器通过浏览器分发给客户端服务器的票据。一个特定服务只能有一个唯一的ST。
  • PGT(Proxy Granting Ticket):由 CAS Server 颁发给拥有 ST 凭证的服务, PGT 绑定一个用户的特定服务,使其拥有向 CAS Server 申请,获得 PT 的能力。
  • PGTIOU(全称 Proxy Granting Ticket I Owe You):作用是将通过凭证校验时的应答信息由 CAS Server 返回给 CAS Client ,同时,与该 PGTIOU 对应的 PGT 将通过回调链接传给 Web 应用。 Web 应用负责维护 PGTIOU 与 PGT 之间映射关系的内容表。PGTIOU是CAS的serviceValidate接口验证ST成功后,CAS会生成验证ST成功的xml消息,返回给Proxy Service,xml消息中含有PGTIOU,proxy service收到Xml消息后,会从中解析出PGTIOU的值,然后以其为key,在map中找出PGT的值,赋值给代表用户信息的Assertion对象的pgtId,同时在map中将其删除。
  • PT(Proxy Ticket):是应用程序代理用户身份对目标程序进行访问的凭证;

CAS 基本流程图(没有使用PROXY代理)

CAS 基本流程图(没有使用PROXY代理)CAS 基本流程图(没有使用PROXY代理)

对于客户端来说会通过客户端session判断用户是否已认证,没有的话跳转到服务器认证,对于服务器,通过SSO session判断用户是否认证,没有的话跳到登录页面。

CAS 基本流程图(使用PROXY代理)

CAS 基本流程图(使用PROXY代理)CAS 基本流程图(使用PROXY代理)

Ansible shell 模块

shell 模块

这个是一个很神奇的模块,它也是ansible的核心模块之一。它跟command模块一样负责在被ansible控制的节点(服务器)执行命令行。它与command模块有着相似的地方,也有不同的地方,看完这篇文章将告诉你答案。

shell模块常用参数

parameter required default choices comments
chdir no 跟command一样的,运行shell之前cd到某个目录
creates no 跟command一样的,如果某个文件存在则不运行shell
removes no 跟command一样的,如果某个文件不存在不运行shell

shell模块案例

案例1:
让所有节点运行somescript.sh并把log输出到somelog.txt。

$ ansible -i hosts all -m shell -a "sh somescript.sh >> somelog.txt"

案例2:
先进入somedir/ ,再在somedir/目录下让所有节点运行somescript.sh并把log输出到somelog.txt。

$ ansible -i hosts all -m shell -a "somescript.sh >> somelog.txt" chdir=somedir/

案例3:
体验shell和command的区别,先cd到某个需要编译的目录,执行condifgure然后,编译,然后安装。

$ ansible -i hosts all -m shell -a "./configure && make && make insatll" chdir=/xxx/yyy/

shell模块如何使用你明白了么?

Centos7上Mesos和Marathon的安装

对Mesos和Marathon的安装官方文档有较详细的安装说明,但是英文的。我参照官方安装文档(https://open.mesosphere.com/getting-started/install/),在测试环境试装了一下,这里整理下安装配置的步骤。

测试环境

服务器IP 说明
192.168.0.101 Master节点
192.168.0.102 Master节点
192.168.0.103 Master节点
192.168.0.104 Slave节点
192.168.0.105 Slave节点
192.168.0.106 Slave节点

我们通常采用多个master节点和多个slave节点来实现高可用。这里使用3个master节点来进行高可用配置,每个master节点上都运行mesos-master,marathon和提供选主机制的zookeeper服务。slave节点上只需要运行mesos-slave服务,后期如果需要添加slave节点,可以很容易的添加。为了简单,下面直接采用yum方式安装(除此之外,还可以采用编译安装)。

Master节点安装和配置

1 安装服务

在所有的Master节点上执行下面的操作。

rpm -Uvh http://repos.mesosphere.io/el/7/noarch/RPMS/mesosphere-el-repo-7-1.noarch.rpm
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-mesosphere
yum install mesos marathon mesosphere-zookeeper -y

2 zookeeper配置

1)每个master节点设置不同的myid值
在/var/lib/zookeeper/myid中写入一个1到255范围的数值,需要注意的是,每个节点的myid不要重复。这里将3个master节点的myid分别设置为:1,2,3

2)每个master节点设置zoo.cfg
在配置文件/etc/zookeeper/conf/zoo.cfg中加入下面内容:

server.1=192.168.0.101:2888:3888
server.2=192.168.0.102:2888:3888
server.3=192.168.0.103:2888:3888

3)启动zookeeper服务

systemctl start zookeeper

3 mesos-master和marathon配置

1)每个master节点的/etc/mesos/zk配置文件中设置zk的地址

zk://192.168.0.101:2181,192.168.0.102:2181,192.168.0.103:2181/mesos

2)/etc/mesos-master/quorum中设置quorum值
这个值要大于master数/2,这里master数为3,则要设为2

3)停掉mesos-slave

systemctl stop mesos-slave.service
systemctl disable mesos-slave.service

4)启动mesos-master marathon

systemctl start mesos-master
systemctl start marathon

Slave节点安装和配置

1 安装服务

在所有的Slave节点上执行下面的操作。

rpm -Uvh http://repos.mesosphere.io/el/7/noarch/RPMS/mesosphere-el-repo-7-1.noarch.rpm
rpm --import /etc/pki/rpm-gpg/RPM-GPG-KEY-mesosphere
yum install mesos -y

2 mesos-slave配置

1)在/etc/mesos/zk中设置zk的地址
这里的zk地址就是master节点所使用的同一套zookeeper服务的地址。

zk://192.168.0.101:2181,192.168.0.102:2181,192.168.0.103:2181/mesos

2)关闭mesos-master服务

systemctl stop mesos-master.service
systemctl disable mesos-master.service

3)启动mesos-slave服务

systemctl start mesos-slave

按照以上的安装和配置,一个高可用的Mesos和Marathon服务就搭建完成了。可以通过http://:5050来访问Mesos的web界面,通过http://:8080来访问Marathon的web界面。可以是任意一个master节点的IP。

最后提醒一下需要注意的是:
1)服务器的jdk要是1.8以上版本的,不然会有报错,因为marathon是要求jdk1.8以上的;
2)各节点配一下/etc/hosts或指向一个共用的DNS,确保相互能够访问。如果不想配hosts,在启动时指定–hostname为IP即可;
3)如果想在marathon上运行docker,则需要一些额外的配置:

//指定使用docker容器化
echo 'docker,mesos' > /etc/mesos-slave/containerizers
//考虑到拉取容器镜像等的操作,适当增加timeout的时间
echo '5mins' > /etc/mesos-slave/executor_registration_timeout
//重启mesos-slave以使上面配置生效
systemctl restart mesos-slave

4)几个配置启动参数的目录:
/etc/mesos-master/
/etc/mesos-slave/
/etc/marathon/conf/
在这些目录分别用来配置mesos-master,mesos-slave,marathon的启动参数。以参数名为文件名,参数值为文件内容即可。

redis3.0配置文件详解

#redis.conf
# Redis configuration file example.
# ./redis-server /path/to/redis.conf

################################## INCLUDES ###################################
#这在你有标准配置模板但是每个redis服务器又需要个性设置的时候很有用。
# include /path/to/local.conf
# include /path/to/other.conf

################################ GENERAL #####################################

#是否在后台执行,yes:后台运行;no:不是后台运行(老版本默认)
daemonize yes

#3.2里的参数,是否开启保护模式,默认开启。要是配置里没有指定bind和密码。开启该参数后,redis只会本地进行访问,拒绝外部访问。要是开启了密码 和bind,可以开启。否 则最好关闭,设置为no。
protected-mode yes
#redis的进程文件
pidfile /var/run/redis/redis-server.pid

#redis监听的端口号。
port 6379

#此参数确定了TCP连接中已完成队列(完成三次握手之后)的长度, 当然此值必须不大于Linux系统定义的/proc/sys/net/core/somaxconn值,默认是511,而Linux的默认参数值是128。当系统并发量大并且客户端速度缓慢的时候,可以将这二个参数一起参考设定。该内核参数默认值一般是128,对于负载很大的服务程序来说大大的不够。一般会将它修改为2048或者更大。在/etc/sysctl.conf中添加:net.core.somaxconn = 2048,然后在终端中执行sysctl -p。
tcp-backlog 511

#指定 redis 只接收来自于该 IP 地址的请求,如果不进行设置,那么将处理所有请求
bind 127.0.0.1

#配置unix socket来让redis支持监听本地连接。
# unixsocket /var/run/redis/redis.sock
#配置unix socket使用文件的权限
# unixsocketperm 700

# 此参数为设置客户端空闲超过timeout,服务端会断开连接,为0则服务端不会主动断开连接,不能小于0。
timeout 0

#tcp keepalive参数。如果设置不为0,就使用配置tcp的SO_KEEPALIVE值,使用keepalive有两个好处:检测挂掉的对端。降低中间设备出问题而导致网络看似连接却已经与对端端口的问题。在Linux内核中,设置了keepalive,redis会定时给对端发送ack。检测到对端关闭需要两倍的设置值。
tcp-keepalive 0

#指定了服务端日志的级别。级别包括:debug(很多信息,方便开发、测试),verbose(许多有用的信息,但是没有debug级别信息多),notice(适当的日志级别,适合生产环境),warn(只有非常重要的信息)
loglevel notice

#指定了记录日志的文件。空字符串的话,日志会打印到标准输出设备。后台运行的redis标准输出是/dev/null。
logfile /var/log/redis/redis-server.log

#是否打开记录syslog功能
# syslog-enabled no

#syslog的标识符。
# syslog-ident redis

#日志的来源、设备
# syslog-facility local0

#数据库的数量,默认使用的数据库是DB 0。可以通过”SELECT “命令选择一个db
databases 16

################################ SNAPSHOTTING ################################
# 快照配置
# 注释掉“save”这一行配置项就可以让保存数据库功能失效
# 设置sedis进行数据库镜像的频率。
# 900秒(15分钟)内至少1个key值改变(则进行数据库保存–持久化)
# 300秒(5分钟)内至少10个key值改变(则进行数据库保存–持久化)
# 60秒(1分钟)内至少10000个key值改变(则进行数据库保存–持久化)
save 900 1
save 300 10
save 60 10000

#当RDB持久化出现错误后,是否依然进行继续进行工作,yes:不能进行工作,no:可以继续进行工作,可以通过info中的rdb_last_bgsave_status了解RDB持久化是否有错误
stop-writes-on-bgsave-error yes

#使用压缩rdb文件,rdb文件压缩使用LZF压缩算法,yes:压缩,但是需要一些cpu的消耗。no:不压缩,需要更多的磁盘空间
rdbcompression yes

#是否校验rdb文件。从rdb格式的第五个版本开始,在rdb文件的末尾会带上CRC64的校验和。这跟有利于文件的容错性,但是在保存rdb文件的时候,会有大概10%的性能损耗,所以如果你追求高性能,可以关闭该配置。
rdbchecksum yes

#rdb文件的名称
dbfilename dump.rdb

#数据目录,数据库的写入会在这个目录。rdb、aof文件也会写在这个目录
dir /var/lib/redis

################################# REPLICATION #################################
#复制选项,slave复制对应的master。
# slaveof <masterip> <masterport>

#如果master设置了requirepass,那么slave要连上master,需要有master的密码才行。masterauth就是用来配置master的密码,这样可以在连上master后进行认证。
# masterauth <master-password>

#当从库同主机失去连接或者复制正在进行,从机库有两种运行方式:1) 如果slave-serve-stale-data设置为yes(默认设置),从库会继续响应客户端的请求。2) 如果slave-serve-stale-data设置为no,除去INFO和SLAVOF命令之外的任何请求都会返回一个错误”SYNC with master in progress”。
slave-serve-stale-data yes

#作为从服务器,默认情况下是只读的(yes),可以修改成NO,用于写(不建议)。
slave-read-only yes

#是否使用socket方式复制数据。目前redis复制提供两种方式,disk和socket。如果新的slave连上来或者重连的slave无法部分同步,就会执行全量同步,master会生成rdb文件。有2种方式:disk方式是master创建一个新的进程把rdb文件保存到磁盘,再把磁盘上的rdb文件传递给slave。socket是master创建一个新的进程,直接把rdb文件以socket的方式发给slave。disk方式的时候,当一个rdb保存的过程中,多个slave都能共享这个rdb文件。socket的方式就的一个个slave顺序复制。在磁盘速度缓慢,网速快的情况下推荐用socket方式。
repl-diskless-sync no

#diskless复制的延迟时间,防止设置为0。一旦复制开始,节点不会再接收新slave的复制请求直到下一个rdb传输。所以最好等待一段时间,等更多的slave连上来。
repl-diskless-sync-delay 5

#slave根据指定的时间间隔向服务器发送ping请求。时间间隔可以通过 repl_ping_slave_period 来设置,默认10秒。
# repl-ping-slave-period 10

#复制连接超时时间。master和slave都有超时时间的设置。master检测到slave上次发送的时间超过repl-timeout,即认为slave离线,清除该slave信息。slave检测到上次和master交互的时间超过repl-timeout,则认为master离线。需要注意的是repl-timeout需要设置一个比repl-ping-slave-period更大的值,不然会经常检测到超时。
# repl-timeout 60

#是否禁止复制tcp链接的tcp nodelay参数,可传递yes或者no。默认是no,即使用tcp nodelay。如果master设置了yes来禁止tcp nodelay设置,在把数据复制给slave的时候,会减少包的数量和更小的网络带宽。但是这也可能带来数据的延迟。默认我们推荐更小的延迟,但是在数据量传输很大的场景下,建议选择yes。
repl-disable-tcp-nodelay no

#复制缓冲区大小,这是一个环形复制缓冲区,用来保存最新复制的命令。这样在slave离线的时候,不需要完全复制master的数据,如果可以执行部分同步,只需要把缓冲区的部分数据复制给slave,就能恢复正常复制状态。缓冲区的大小越大,slave离线的时间可以更长,复制缓冲区只有在有slave连接的时候才分配内存。没有slave的一段时间,内存会被释放出来,默认1m。
# repl-backlog-size 5mb

#master没有slave一段时间会释放复制缓冲区的内存,repl-backlog-ttl用来设置该时间长度。单位为秒。
# repl-backlog-ttl 3600

#当master不可用,Sentinel会根据slave的优先级选举一个master。最低的优先级的slave,当选master。而配置成0,永远不会被选举。
slave-priority 100

#redis提供了可以让master停止写入的方式,如果配置了min-slaves-to-write,健康的slave的个数小于N,mater就禁止写入。master最少得有多少个健康的slave存活才能执行写命令。这个配置虽然不能保证N个slave都一定能接收到master的写操作,但是能避免没有足够健康的slave的时候,master不能写入来避免数据丢失。设置为0是关闭该功能。
# min-slaves-to-write 3

#延迟小于min-slaves-max-lag秒的slave才认为是健康的slave。
# min-slaves-max-lag 10

# 设置1或另一个设置为0禁用这个特性。
# Setting one or the other to 0 disables the feature.
# By default min-slaves-to-write is set to 0 (feature disabled) and
# min-slaves-max-lag is set to 10.

################################## SECURITY ###################################
#requirepass配置可以让用户使用AUTH命令来认证密码,才能使用其他命令。这让redis可以使用在不受信任的网络中。为了保持向后的兼容性,可以注释该命令,因为大部分用户也不需要认证。使用requirepass的时候需要注意,因为redis太快了,每秒可以认证15w次密码,简单的密码很容易被攻破,所以最好使用一个更复杂的密码。
# requirepass foobared

#把危险的命令给修改成其他名称。比如CONFIG命令可以重命名为一个很难被猜到的命令,这样用户不能使用,而内部工具还能接着使用。
# rename-command CONFIG b840fc02d524045429941cc15f59e41cb7be6c52

#设置成一个空的值,可以禁止一个命令
# rename-command CONFIG “”
################################### LIMITS ####################################

# 设置能连上redis的最大客户端连接数量。默认是10000个客户端连接。由于redis不区分连接是客户端连接还是内部打开文件或者和slave连接等,所以maxclients最小建议设置到32。如果超过了maxclients,redis会给新的连接发送’max number of clients reached’,并关闭连接。
# maxclients 10000

#redis配置的最大内存容量。当内存满了,需要配合maxmemory-policy策略进行处理。注意slave的输出缓冲区是不计算在maxmemory内的。所以为了防止主机内存使用完,建议设置的maxmemory需要更小一些。
# maxmemory <bytes>

#内存容量超过maxmemory后的处理策略。
#volatile-lru:利用LRU算法移除设置过过期时间的key。
#volatile-random:随机移除设置过过期时间的key。
#volatile-ttl:移除即将过期的key,根据最近过期时间来删除(辅以TTL)
#allkeys-lru:利用LRU算法移除任何key。
#allkeys-random:随机移除任何key。
#noeviction:不移除任何key,只是返回一个写错误。
#上面的这些驱逐策略,如果redis没有合适的key驱逐,对于写命令,还是会返回错误。redis将不再接收写请求,只接收get请求。写命令包括:set setnx setex append incr decr rpush lpush rpushx lpushx linsert lset rpoplpush sadd sinter sinterstore sunion sunionstore sdiff sdiffstore zadd zincrby zunionstore zinterstore hset hsetnx hmset hincrby incrby decrby getset mset msetnx exec sort。
# maxmemory-policy noeviction

#lru检测的样本数。使用lru或者ttl淘汰算法,从需要淘汰的列表中随机选择sample个key,选出闲置时间最长的key移除。
# maxmemory-samples 5

############################## APPEND ONLY MODE ###############################
#默认redis使用的是rdb方式持久化,这种方式在许多应用中已经足够用了。但是redis如果中途宕机,会导致可能有几分钟的数据丢失,根据save来策略进行持久化,Append Only File是另一种持久化方式,可以提供更好的持久化特性。Redis会把每次写入的数据在接收后都写入 appendonly.aof 文件,每次启动时Redis都会先把这个文件的数据读入内存里,先忽略RDB文件。
appendonly no

#aof文件名
appendfilename “appendonly.aof”

#aof持久化策略的配置
#no表示不执行fsync,由操作系统保证数据同步到磁盘,速度最快。
#always表示每次写入都执行fsync,以保证数据同步到磁盘。
#everysec表示每秒执行一次fsync,可能会导致丢失这1s数据。
appendfsync everysec

# 在aof重写或者写入rdb文件的时候,会执行大量IO,此时对于everysec和always的aof模式来说,执行fsync会造成阻塞过长时间,no-appendfsync-on-rewrite字段设置为默认设置为no。如果对延迟要求很高的应用,这个字段可以设置为yes,否则还是设置为no,这样对持久化特性来说这是更安全的选择。设置为yes表示rewrite期间对新写操作不fsync,暂时存在内存中,等rewrite完成后再写入,默认为no,建议yes。Linux的默认fsync策略是30秒。可能丢失30秒数据。
no-appendfsync-on-rewrite no

#aof自动重写配置。当目前aof文件大小超过上一次重写的aof文件大小的百分之多少进行重写,即当aof文件增长到一定大小的时候Redis能够调用bgrewriteaof对日志文件进行重写。当前AOF文件大小是上次日志重写得到AOF文件大小的二倍(设置为100)时,自动启动新的日志重写过程。
auto-aof-rewrite-percentage 100
#设置允许重写的最小aof文件大小,避免了达到约定百分比但尺寸仍然很小的情况还要重写
auto-aof-rewrite-min-size 64mb

#aof文件可能在尾部是不完整的,当redis启动的时候,aof文件的数据被载入内存。重启可能发生在redis所在的主机操作系统宕机后,尤其在ext4文件系统没有加上data=ordered选项(redis宕机或者异常终止不会造成尾部不完整现象。)出现这种现象,可以选择让redis退出,或者导入尽可能多的数据。如果选择的是yes,当截断的aof文件被导入的时候,会自动发布一个log给客户端然后load。如果是no,用户必须手动redis-check-aof修复AOF文件才可以。
aof-load-truncated yes

################################ LUA SCRIPTING ###############################
# 如果达到最大时间限制(毫秒),redis会记个log,然后返回error。当一个脚本超过了最大时限。只有SCRIPT KILL和SHUTDOWN NOSAVE可以用。第一个可以杀没有调write命令的东西。要是已经调用了write,只能用第二个命令杀。
lua-time-limit 5000

################################ REDIS CLUSTER ###############################
#集群开关,默认是不开启集群模式。
# cluster-enabled yes

#集群配置文件的名称,每个节点都有一个集群相关的配置文件,持久化保存集群的信息。这个文件并不需要手动配置,这个配置文件有Redis生成并更新,每个Redis集群节点需要一个单独的配置文件,请确保与实例运行的系统中配置文件名称不冲突
# cluster-config-file nodes-6379.conf

#节点互连超时的阀值。集群节点超时毫秒数
# cluster-node-timeout 15000

#在进行故障转移的时候,全部slave都会请求申请为master,但是有些slave可能与master断开连接一段时间了,导致数据过于陈旧,这样的slave不应该被提升为master。该参数就是用来判断slave节点与master断线的时间是否过长。判断方法是:
#比较slave断开连接的时间和(node-timeout * slave-validity-factor) + repl-ping-slave-period
#如果节点超时时间为三十秒, 并且slave-validity-factor为10,假设默认的repl-ping-slave-period是10秒,即如果超过310秒slave将不会尝试进行故障转移
# cluster-slave-validity-factor 10

#master的slave数量大于该值,slave才能迁移到其他孤立master上,如这个参数若被设为2,那么只有当一个主节点拥有2 个可工作的从节点时,它的一个从节点会尝试迁移。
# cluster-migration-barrier 1

#默认情况下,集群全部的slot有节点负责,集群状态才为ok,才能提供服务。设置为no,可以在slot没有全部分配的时候提供服务。不建议打开该配置,这样会造成分区的时候,小分区的master一直在接受写请求,而造成很长时间数据不一致。
# cluster-require-full-coverage yes

################################## SLOW LOG ###################################
###slog log是用来记录redis运行中执行比较慢的命令耗时。当命令的执行超过了指定时间,就记录在slow log中,slog log保存在内存中,所以没有IO操作。
#执行时间比slowlog-log-slower-than大的请求记录到slowlog里面,单位是微秒,所以1000000就是1秒。注意,负数时间会禁用慢查询日志,而0则会强制记录所有命令。
slowlog-log-slower-than 10000

#慢查询日志长度。当一个新的命令被写进日志的时候,最老的那个记录会被删掉。这个长度没有限制。只要有足够的内存就行。你可以通过 SLOWLOG RESET 来释放内存。
slowlog-max-len 128

################################ LATENCY MONITOR ##############################
#延迟监控功能是用来监控redis中执行比较缓慢的一些操作,用LATENCY打印redis实例在跑命令时的耗时图表。只记录大于等于下边设置的值的操作。0的话,就是关闭监视。默认延迟监控功能是关闭的,如果你需要打开,也可以通过CONFIG SET命令动态设置。
latency-monitor-threshold 0

############################# EVENT NOTIFICATION ##############################
#键空间通知使得客户端可以通过订阅频道或模式,来接收那些以某种方式改动了 Redis 数据集的事件。因为开启键空间通知功能需要消耗一些 CPU ,所以在默认配置下,该功能处于关闭状态。
#notify-keyspace-events 的参数可以是以下字符的任意组合,它指定了服务器该发送哪些类型的通知:
##K 键空间通知,所有通知以 __keyspace@__ 为前缀
##E 键事件通知,所有通知以 __keyevent@__ 为前缀
##g DEL 、 EXPIRE 、 RENAME 等类型无关的通用命令的通知
##$ 字符串命令的通知
##l 列表命令的通知
##s 集合命令的通知
##h 哈希命令的通知
##z 有序集合命令的通知
##x 过期事件:每当有过期键被删除时发送
##e 驱逐(evict)事件:每当有键因为 maxmemory 政策而被删除时发送
##A 参数 g$lshzxe 的别名
#输入的参数中至少要有一个 K 或者 E,否则的话,不管其余的参数是什么,都不会有任何 通知被分发。详细使用可以参考http://redis.io/topics/notifications

notify-keyspace-events “”

############################### ADVANCED CONFIG ###############################
#数据量小于等于hash-max-ziplist-entries的用ziplist,大于hash-max-ziplist-entries用hash
hash-max-ziplist-entries 512
#value大小小于等于hash-max-ziplist-value的用ziplist,大于hash-max-ziplist-value用hash。
hash-max-ziplist-value 64

#数据量小于等于list-max-ziplist-entries用ziplist,大于list-max-ziplist-entries用list。
list-max-ziplist-entries 512
#value大小小于等于list-max-ziplist-value的用ziplist,大于list-max-ziplist-value用list。
list-max-ziplist-value 64

#数据量小于等于set-max-intset-entries用iniset,大于set-max-intset-entries用set。
set-max-intset-entries 512

#数据量小于等于zset-max-ziplist-entries用ziplist,大于zset-max-ziplist-entries用zset。
zset-max-ziplist-entries 128
#value大小小于等于zset-max-ziplist-value用ziplist,大于zset-max-ziplist-value用zset。
zset-max-ziplist-value 64

#value大小小于等于hll-sparse-max-bytes使用稀疏数据结构(sparse),大于hll-sparse-max-bytes使用稠密的数据结构(dense)。一个比16000大的value是几乎没用的,建议的value大概为3000。如果对CPU要求不高,对空间要求较高的,建议设置到10000左右。
hll-sparse-max-bytes 3000

#Redis将在每100毫秒时使用1毫秒的CPU时间来对redis的hash表进行重新hash,可以降低内存的使用。当你的使用场景中,有非常严格的实时性需要,不能够接受Redis时不时的对请求有2毫秒的延迟的话,把这项配置为no。如果没有这么严格的实时性要求,可以设置为yes,以便能够尽可能快的释放内存。
activerehashing yes

##对客户端输出缓冲进行限制可以强迫那些不从服务器读取数据的客户端断开连接,用来强制关闭传输缓慢的客户端。
#对于normal client,第一个0表示取消hard limit,第二个0和第三个0表示取消soft limit,normal client默认取消限制,因为如果没有寻问,他们是不会接收数据的。
client-output-buffer-limit normal 0 0 0
#对于slave client和MONITER client,如果client-output-buffer一旦超过256mb,又或者超过64mb持续60秒,那么服务器就会立即断开客户端连接。
client-output-buffer-limit slave 256mb 64mb 60
#对于pubsub client,如果client-output-buffer一旦超过32mb,又或者超过8mb持续60秒,那么服务器就会立即断开客户端连接。
client-output-buffer-limit pubsub 32mb 8mb 60

#redis执行任务的频率为1s除以hz。
hz 10

#在aof重写的时候,如果打开了aof-rewrite-incremental-fsync开关,系统会每32MB执行一次fsync。这对于把文件写入磁盘是有帮助的,可以避免过大的延迟峰值。
aof-rewrite-incremental-fsync yes

测试评审的一天

测试评审一天  项目进度出问题都这一套

测试说开发对不上需求、
开发说需求不清晰、
开发架构不好用误时间、
组长说需求不明确、
需求说客户这么提、
架构说开发人员水平低 ….

部门经理发了这张图 …