Shiro-Cas单点登出问题解决思路

问题原因

使用Shiro-Cas时很多时候会采用Shiro的Session管理器，而Cas服务器通知登出消息的时候，客户端移除JSESSIONID来实现在客户端的登出操作，这一操作在集成了Shiro后显然是不能实现了，找了很多资料都没能解决这一问题，是在没办法只能自己解决了，研究一番之后发现还是要对Cas组件做一点修改。

解决思路

自定义SingleSignOutHttpSessionListener

由于SingleSignOutHttpSessionListener是final class，不可以被继承，因此在我们的工程下按原有的包名写一个自己的CustomSingleSignOutHttpSessionListener，并将web.xml中的对应配置修改为我们自定义的类。
这个类需要复制所有原有的代码，并在其中加上一点自己的东西。
首先是加一个List用来保存已经登出的JSESSIONID。

    /**
     * 保存已经登出的JSESSIONID*/
    private static List<String> logoutSessionId = new ArrayList<>();
    public static List<String> getLogoutSessionId() {
     
        return logoutSessionId;
    }
    public static void addLogoutSessionId(String id){
     
        logoutSessionId.add(id);
    }
    public static void removeLogoutSessionId(String id){
     
        logoutSessionId.remove(id);
    }

然后需要修改sessionDestroyed这个方法，在方法末尾加上

addLogoutSessionId(session.getId());

对这个Listener的改造就完成了。

通过Filter检查Cookie中的JSESSIONID

通过Filter过滤所有请求，检查Cookie中的JSESSIONID是否存在于刚刚建的List中，如果存在的话，则调用Shiro的登出方法，清空ShiroSession并重定向到登录页面，可以参考我的代码实现。

//获取Cas登出的JESESSIONID列表
		List logoutList = CustomSingleSignOutHttpSessionListener.getLogoutSessionId();
		Cookie[] cookies = request.getCookies();
		//检查Cookie中的JESESSIONID是否和已登出的匹配
		for (Cookie cookie : cookies) {
     
			if (cookie.getName().equals("JSESSIONID") && logoutList.contains(cookie.getValue())) {
     
                String account = SecurityUtils.getSubject().getPrincipal().toString();
			    System.out.println("在已登出列表中找到【"+account+"】用户Session，该用户的ShiroSession将被注销。");
				session.removeAttribute("logininfo");
				SecurityUtils.getSecurityManager().logout(SecurityUtils.getSubject());//用户登出
				CustomSingleSignOutHttpSessionListener.removeLogoutSessionId(cookie.getValue());//清除保存的已登出JESESSIONID
				response.sendRedirect(project+"/login.page");//重定向并返回
				return;
			}
		}

这样就可以实现Shiro-Cas的登出了，是一个比较投机取巧的办法，如果有其他好的办法可以留言分享一下。