CAS协议 - 刷新令牌?
问题描述:
我翻遍了CAS
服务器文档,并且非常了解客户端,服务器和应用程序之间的数据流。CAS协议 - 刷新令牌?
不过,我在下面的情况下会发生什么特别感兴趣:
- 用户到达应用程序,输入凭据,并得到由
CAS
服务器 - PHP接收答案的授权,造成
PHPSESSID
- 在某个时间点,管理员从注册表中删除该用户(无论是DBMS,LDAP还是其他)
- 用户发送受保护资源请求 - 接收到资源
所以,你可能会看到,安全是我的主要问题在这里。会话/访问令牌如何以及何时被验证/刷新?
这个问题是关于CAS
和BeSimpleSsoAuthBundle
,但我相信它适用于其他类似目的的协议。
这是我曾尝试:
- 安装/上单独的盒子配置
CAS
- 安装/配置上的另一盒applicaation
- 使用的应用程序通过
CAS
验证 - 成功 - 用户尝试访问受保护的资源 - 成功
- 降低
Tomcat
运行的服务器CAS
- 试图访问受保护的资源应用 - 成功
如果我错过了一些东西,我会更乐意来更新我的问题:)
答
声明(?!):我他是中科院院长,中科院院士的创始人(https://www.casinthecloud.com)。
这是CAS的一般设计:您有客户端和服务器,它提供了一些优势,但其中一个主要问题是,在您的应用程序中经过身份验证之后,您可能无法再与CAS服务器再次通信。
在现实生活中,除非使用记忆我,否则通常不是问题。几小时后(最坏情况),SSO /网络会话结束,被移除的用户无法再登录。
谢谢@jleleu。我不知道这样的概念。但是,我会在我的应用程序中使用记忆我选项。尽管如此,由于我的应用程序将托管在单个服务器上,因此我觉得我可以访问会话的商店并删除一个需要(当然是自动)。你有其他建议吗? :) – 2014-09-26 06:52:35
似乎对我很好。对于长时间的会话(请记住我),您需要对用户执行较短的检查以确保他仍然存在 – jleleu 2014-09-26 12:29:26
非常感谢@jleleu :)我正在为一个项目开展一些研究工作,这项工作将在几周内开始,如果你看到关于CAS的更多问题,我不会感到惊讶;) – 2014-09-28 23:07:48