[英]Central Authentication Server architecture and authentication flow
最近,當我在使用CAS服務器時,遇到了一個概念性的問題……據我了解,票證驗證成功后,該票證就被刪除了……但是為什么? 以及在哪個位置准確地檢查了用戶角色?
謝謝
CAS服務票證可以一次性使用,以消除重播攻擊的風險。 如果使用推薦的設置,則客戶端應僅通過HTTPS與CAS服務器進行通信,因此從CAS服務器獲取服務票證時,該服務票證將保持機密。 但是,客戶端可能會隨后在未加密的通道(即HTTP)上將票證提供給所需的服務。 因此,不再安全地認為它在首次使用后是秘密的。 此外,僅一種用途就是對客戶端進行身份驗證所必需的,因此在此之后再允許其他用途沒有多大意義。 這只是在找麻煩。
關於用戶角色,這取決於您的應用程序。 CAS的目的是告訴您您要處理的是誰(身份驗證),它做得很好。 允許特定用戶在您的應用程序(授權)中執行的操作是一個不同的問題,而不是一個CAS打算解決的。
默認情況下,ServiceTicket(ST)只能使用一次,並且只能使用很短的時間(綁定到MultiTimeUseOrTimeoutExpirationPolicy
)。 就像Mike在回答問題時說的那樣,以確保它不會被濫用。 這種預先設置可以,如果你真的需要,我已經寫上改變另一篇文章通過改變ticketExpirationPolicy.xml
文件
但是,TicketGrantingTicket(TGT)保持活動狀態,默認情況下僅綁定到TimeoutExpirationPolicy
,不受請求量的限制。 通過TGT,CAS可以創建所需數量的ST。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.