中央認證服務器架構和認證流程
[英]Central Authentication Server architecture and authentication flow
問題描述
最近,當我在使用CAS服務器時,遇到了一個概念性的問題……據我了解,票證驗證成功后,該票證就被刪除了……但是為什么? 以及在哪個位置准確地檢查了用戶角色?
謝謝
2 個解決方案
解決方案1
0 2012-03-09 17:15:30
CAS服務票證可以一次性使用,以消除重播攻擊的風險。 如果使用推薦的設置,則客戶端應僅通過HTTPS與CAS服務器進行通信,因此從CAS服務器獲取服務票證時,該服務票證將保持機密。 但是,客戶端可能會隨后在未加密的通道(即HTTP)上將票證提供給所需的服務。 因此,不再安全地認為它在首次使用后是秘密的。 此外,僅一種用途就是對客戶端進行身份驗證所必需的,因此在此之后再允許其他用途沒有多大意義。 這只是在找麻煩。
關於用戶角色,這取決於您的應用程序。 CAS的目的是告訴您您要處理的是誰(身份驗證),它做得很好。 允許特定用戶在您的應用程序(授權)中執行的操作是一個不同的問題,而不是一個CAS打算解決的。
解決方案2
0 已采納 2012-03-16 12:58:50
默認情況下,ServiceTicket(ST)只能使用一次,並且只能使用很短的時間(綁定到MultiTimeUseOrTimeoutExpirationPolicy )。 就像Mike在回答問題時說的那樣,以確保它不會被濫用。 這種預先設置可以,如果你真的需要,我已經寫上改變另一篇文章通過改變ticketExpirationPolicy.xml文件
但是,TicketGrantingTicket(TGT)保持活動狀態,默認情況下僅綁定到TimeoutExpirationPolicy ,不受請求量的限制。 通過TGT,CAS可以創建所需數量的ST。
哈德遜中央認證服務
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.