CAS单点登录-关于服务器超时以及客户端超时的分析 （十）

预想情况

一般情况下，当用户登录一个站点后，如果长时间没有任何动作，当用户再次单击时，会被强制登出并跳转到登录页面，提醒用户重新登录。

现在我已经为站点整合了CAS，并且已经实现了单点登录以及单点注销，那么当用户使用过程中，发生了超时的情况，估计也是自动强行登出了吧，而且其他部署了CAS的站点也跟着自动登出。 上面的是猜想，那么实际情况到底是什么样的？

疑问

1. CAS-Client 超时会发生什么？
2. CAS-Server超时会发生什么？
3. CAS-Client与CAS-Server超时时间分别该怎么设置比较好？
4. 一个站点超时时，其它站点集中被注销了吗？

验证

1. CAS-Client 超时会发生什么？

CAS-Client客户端超时时间其实就是项目session的有效时间，默认：30分钟，（springboot2.x）可修改配置：

server:
  servlet:
    session:
      timeout: 1800s

验证方法：

a. 事前准备：

1. 把webApp1的超时时间设置为1分钟，webApp2的超时时间设置为2小时，CAS-Server默认超时时间也是2小时
2. 启动CAS-Server、webApp1、webApp2
3. 分别登陆webApp1、webApp2

b. 验证动作：

2分钟后，我优先单击webApp1的网页，仿佛没有发生任何与超时相关的处理，依然可以正常访问所有页面。并没有强制跳转到登录页。我再单击webApp2的网页，也可以正常浏览。 又过了2分钟，我优先单击webApp2的网页，可以正常访问。再此单击webApp1，也可以正常访问。

c. 验证结果：

1. webApp1虽然超时了，但是并没有被强制登出，依然可以正常访问。
2. webApp2完全没有收到webApp1的超时影响，也可以正常访问。

2. CAS-Server超时会发生什么？

cas服务器超时主要指的是TGT（ticket granting ticket）超时，如果TGT时间到期，则需要进行重新登录。默认是2小时。这里单位是秒

#tgt.timeToKillInSeconds是指在用户没有对系统进行任何操作的情况下，7200秒之后，也就是两个小时之后TGT会过期。过期之后需要重新登录操作。
cas.ticket.tgt.time-to-kill-in-seconds=7200

验证方法：

a. 事前准备：

1. CAS-Server超时时间设置为2分钟，webApp1超时时间设置为5分钟，webApp2超时时间设置为10分钟。
2. 启动CAS-Server、webApp1、webApp2
3. 分别登录webApp1、webApp2

b. 验证动作：

3分钟后，CAS-Server应该已经超时了，这时我访问webApp1，可以正常访问。访问webApp2，也可以正常访问。

6分钟后，CAS-server与webApp1应该都超时了，这时访问webApp1，页面被强制重定向到登录页面了。再访问webApp2，发现仍然可以正常访问。

11分钟后，webApp2页超时了，这时访问webApp2，页面就被重定向到登录页面了。

c. 验证结果：

1. CAS-Server的TGT超时，并不会影响到页面的正常访问，也就是说TGT超时后，并没有主动的销毁客户端的Session。
2. 只有当TGT超时后，并且客户端也超时了，这时候客户端才会主动向Cas-Server重新发起请求认证，然后发现TGT超时了，所以重定向回登录页面

3.一个客户端超时并不会影响其他客户端的正常访问。

3. Cas-Client与Cas-Server超时时间分别该怎么设置才比较好？

从上面两个验证可以发现，一旦客户端通过CAS-Server认证后，客户端就相当于完全独立了，即使再访问客户端的页面，客户端与CAS-Server之间也不会再发生任何交互或者验证动作。 一直到客户端强制退出或者超时后，才会主动发起认证请求，CAS-Server才会被动处理请求，判断是需要重定向还是重新认证通过。

也就是说，如果服务器超时时间设置的过短，并不会起作用，还是要等客户端超时才行。

鉴于以上结论，客户端和服务器的超时时间设置应该为： CAS-Server（TGT）超时时间 >= CAS-Client的超时时间

4. 一个站点超时，其他站点集中被注销了吗？

从之前的验证来看，一个站点超时，并不影响其他站点的正常访问。

总结

CAS-Server和CAS-Client超时结果图：