使用sso(cas)的时候报单点登录service不匹配问题分析及解决

最近在使用portal做企业门户网站，其中使用了sso。在集成了多个应用之后在portal中点击集成的应用报错

2017-05-31 08:37:16,950 ERROR [org.jasig.cas.CentralAuthenticationServiceImpl] -
<ServiceTicket [ST-3-eajOL4HrCjCEmMVFKm57] with service [http://10.80.18.105:80
86/XXX/XXX? does not match supplied service [http://10.80.18.105:8086/XXX/XXX]>

这里注意报错中访问url多了个‘？’

分析：Cas Server端解析出的service URL前后相差了一个“?”，怀疑是cas client在新版tomcat下生成 service URL时出现问题，检查client代码，定位到edu.yale.its.tp.cas.client.Util的getService方法

if (request.getQueryString() != null)
{
    int ticketLoc = request.getQueryString().indexOf("ticket=");
    if (ticketLoc == -1)
        sb.append((new StringBuilder("?")).append(request.getQueryString()).toString());
    else
    if (ticketLoc > 0)
    {
        ticketLoc = request.getQueryString().indexOf("&ticket=");
        if (ticketLoc == -1)
            sb.append((new StringBuilder("?")).append(request.getQueryString()).toString());
        else
        if (ticketLoc > 0)
            sb.append((new StringBuilder("?")).append(request.getQueryString().substring(0, ticketLoc)).toString());
    }
}

发现对于没有参数的http请求，request.getQueryString()函数在Tomcat5.5.15中是返回null，而5.5.16中是返回""。直接加上对空string判断的逻辑，问题解决。

修改jar包里的edu.yale.its.tp.cas.client.Util.class(反编译jar，修改util类后再编译替换jar包中的util.class)。

if (request.getQueryString() != null && !"".equals(request.getQueryString()))

问题解决。