spring - Spring 和 CAS 使用 Spring Security :: Ticket left in URL 杀死书签

Question

我已经设置了一个使用 Spring 和内置 Spring Security CAS 实现的应用程序。一切似乎都运行良好，用户可以正常登录，一切都很好。直到您尝试为页面添加书签。

在安全过滤器链中的 CasAuthenticationFilter 触发后，我们的系统似乎保留了票证查询参数。

我们最终会发现用户的 URL 中包含票证查询参数。如果他们将页面添加为书签，然后返回到该页面，则会收到票证不存在错误。

这是预期的行为吗？我记得查看 Jasig 客户端实现，他们似乎在那里擦洗它，但不是在 Spring Sec impl 中？

有什么想法吗？

谢谢！

Answer 1

在用户被重定向回您的应用程序以进行票证验证后，执行重定向（到没有票证参数的 URL）。

Answer 2

大多数基于 Java 的 CAS 验证过滤器都支持 RedirectAfterValidation。这将刷新页面并删除票证参数。

见https://wiki.jasig.org/display/CASC/Using+the+CAS+Client+3.1+with+Spring+Security