中央认证服务器架构和认证流程
[英]Central Authentication Server architecture and authentication flow
问题描述
最近,当我在使用CAS服务器时,遇到了一个概念性的问题……据我了解,票证验证成功后,该票证就被删除了……但是为什么? 以及在哪个位置准确地检查了用户角色?
谢谢
2 个解决方案
解决方案1
0 2012-03-09 17:15:30
CAS服务票证可以一次性使用,以消除重播攻击的风险。 如果使用推荐的设置,则客户端应仅通过HTTPS与CAS服务器进行通信,因此从CAS服务器获取服务票证时,该服务票证将保持机密。 但是,客户端可能会随后在未加密的通道(即HTTP)上将票证提供给所需的服务。 因此,不再安全地认为它在首次使用后是秘密的。 此外,仅一种用途就是对客户端进行身份验证所必需的,因此在此之后再允许其他用途没有多大意义。 这只是在找麻烦。
关于用户角色,这取决于您的应用程序。 CAS的目的是告诉您您要处理的是谁(身份验证),它做得很好。 允许特定用户在您的应用程序(授权)中执行的操作是一个不同的问题,而不是一个CAS打算解决的。
解决方案2
0 已采纳 2012-03-16 12:58:50
默认情况下,ServiceTicket(ST)只能使用一次,并且只能使用很短的时间(绑定到MultiTimeUseOrTimeoutExpirationPolicy )。 就像Mike在回答问题时说的那样,以确保它不会被滥用。 这种预先设置可以,如果你真的需要,我已经写上改变另一篇文章通过改变ticketExpirationPolicy.xml文件
但是,TicketGrantingTicket(TGT)保持活动状态,默认情况下仅绑定到TimeoutExpirationPolicy ,不受请求量的限制。 通过TGT,CAS可以创建所需数量的ST。
哈德逊中央认证服务
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.