CAS的ticket失效过快，如何延长有效期？

1. CAS单点登录系统概述

CAS（Central Authentication Service）是一种广泛应用于企业级环境的单点登录（SSO）解决方案。其核心思想是通过集中式的认证服务，减少用户在多个系统中重复登录的问题。然而，默认配置下，CAS的Service Ticket（ST）和Ticket Granting Ticket（TGT）有效期较短，容易导致用户体验不佳。

以下是CAS系统的两个关键组件：

• TGT（Ticket Granting Ticket）: 用户成功登录后生成，用于获取ST。
• ST（Service Ticket）: 由TGT生成，用于访问特定的服务。

2. 常见问题分析：Ticket失效过快

在实际应用中，许多用户反馈频繁被要求重新认证，这主要是因为默认的ticket有效期设置较短。例如：

• TGT的空闲超时时间通常为5分钟（300秒）。
• ST的有效期可能仅为几分钟。

这种设计虽然增强了安全性，但对用户体验造成了负面影响。因此，调整ticket的有效期成为优化CAS系统的重要步骤。

3. 配置详解：延长Ticket有效期

为了延长ticket的有效期，可以通过修改`deployerConfigContext.xml`文件中的相关参数实现。以下是具体步骤：

1. 编辑`deployerConfigContext.xml`文件。
2. 定位到`ticketGrantingTicketExpirationPolicy`和`serviceTicketExpirationPolicy`配置项。
3. 根据需求调整参数值。

以下是一个示例配置：

<bean class="org.jasig.cas.services.DefaultServicesManagerImpl">
    <property name="serviceTicketExpirationPolicy">
        <bean class="org.jasig.cas.ticket.support.TimeoutExpirationPolicy">
            <constructor-arg index="0" value="7200"/> <!-- ST有效期设为7200秒 -->
        </bean>
    </property>
</bean>

对于TGT，可以通过以下参数控制：

4. 安全性与用户体验的权衡

延长ticket有效期虽然可以改善用户体验，但也可能带来安全风险。以下是一些需要考虑的因素：

• 安全性: 较长的有效期意味着一旦ticket被盗用，攻击者有更多时间进行恶意操作。
• 用户体验: 过短的有效期会导致用户频繁重新认证，降低工作效率。

建议结合实际场景，制定合理的有效期策略。例如，对于高敏感度的系统，可适当缩短有效期；而对于普通业务系统，则可适当延长。

5. 流程图：Ticket有效期调整流程

以下是调整ticket有效期的整体流程图：

```mermaid
flowchart LR
    A[开始] --> B[编辑deployerConfigContext.xml]
    B --> C{选择配置项}
    C --TGT--> D[修改maxTimeToLiveInSeconds和timeToKillInSeconds]
    C --ST--> E[修改TimeoutExpirationPolicy]
    D --> F[保存并重启CAS服务]
    E --> F
```