# 前情提要

将CAS部署到阿里云，使用SLB进行前端负载以及SSL，后端使用TOMCAT作为应用服务器。

按照常规方式部署上去之后，遇到如下问题：

1. SSL下使用redirect，自动跳转到80端口。

2. CAS无法获取到客户端的IP，Cookies校验出错，导致单点登录功能失效。

# 查找原因

1. TOMCAT默认情况下的redirect会是80

2. CAS的Cookies检查以及写入程序使用request.getRemoteAddr()获取到的都是SLB的IP，并非实际客户端的IP，而且SLB的IP不固定（貌似阿里的SLB是一个N多台机器的玩意，每次一个页面请求过来，每个资源的请求IP都不同），我使用的杭州的SLB，IP段在100.97.*.*这个范围。

# 解决问题

1. 设定TOMCAT的使用前端代理模式，解决TOMCAT中程序的redirect没有跳转到SSL的问题。

在server.xml中找到对外开放的Connector，我的是用的NIO-8080

<Connector port="8080"

  proxyName="这里是域名"

  proxyPort="443"

  scheme="https"

  secure="true"

  protocol="org.apache.coyote.http11.Http11NioProtocol"

  connectionTimeout="20000" URIEncoding="UTF-8" useBodyEncodingForURI="true"

  redirectPort="8443" />

上述的含义是，

SLB的域名是proxyName

SLB对外端口是proxyPort

SLB使用的协议是https

SLB是否开启SSL：secure

2. 设定X-Forwarded过滤器

在server.xml中的<Engine>元素下增加如下内容：

<Valve className="org.apache.catalina.valves.RemoteIpValve"

  internalProxies="100\.97\.\d{1,3}\.\d{1,3}" />

internalProxies的意思是：TOMCAT仅接受这个IP段过来的请求中的X-Forwarded系列的值覆写为Remote_Addr等。加了这个过滤器之后使用request.getRemoteAddr()就可以获取到正确的客户端IP了。需要注意的是，这个IP段需要根据你所用的SLB来写。

在TOMCAT里，internalProxies的默认值为（无法覆盖到SLB的IP段）：

10\.\d{1,3}\.\d{1,3}\.\d{1,3}|192\.168\.\d{1,3}\.\d{1,3}|169\.254\.\d{1,3}\.\d{1,3}|127\.\d{1,3}\.\d{1,3}\.\d{1,3}|172\.1[6-9]{1}\.\d{1,3}\.\d{1,3}|172\.2[0-9]{1}\.\d{1,3}\.\d{1,3}|172\.3[0-1]{1}\.\d{1,3}\.\d{1,3} 

特别注意：

这个<Value>一定要写在<Engine>元素下！

这个<Value>一定要写在<Engine>元素下！

这个<Value>一定要写在<Engine>元素下！

我查了很多网上的资料，都是说在server.xml里面加上这个<Value>，于是我看到Tomcat有默认定义一个<Value>在<Host>里面，于是我也跟着写里面，但是就是不生效。然后我特姆调试了两天，结果一直不生效，最后在TOMCAT文档里找到这么一句话：

This Valve may be used at the Engine, Host or Context level as required. Normally, this Valve would be used at the Engine level.

其他参数请参考Tomcat的文档：

https://tomcat.apache.org/tomcat-8.0-doc/config/valve.html#Remote_Address_Filter

希望此篇能给有需要的人带来帮助。