2
登錄到我的Web應用程序後,用戶需要使用X.509證書進行身份驗證。與客戶端證書的Apache「SSLSessionCacheTimeout」
一段時間不活動後,用戶將嘗試繼續使用該網站。此時,將嘗試新的會話,但會失敗。它由於重新認證沒有發生而失敗。
如果我將Apache的SSLSessionCacheTimeout增加到8小時,那麼客戶端在創建會話期間不再需要重新進行身份驗證?
注 - 假定需要在爲Apache SSLSessionCacheTimeout設置的8小時內創建新會話。
編輯或者,SSL會話是否不會影響HTTPS會話?
SSL會話重新協商不應該對應用程序級會話產生任何影響。關於「用戶需要使用X.509認證進行身份驗證」的含義,您可以更具體一些嗎?「會嘗試創建一個新的會話,但會失敗,因爲沒有發生重認證「。 ? – 2013-05-03 13:11:38
用戶首次登錄到Web應用程序|從智能卡選擇證書|自定義的Spring Security代碼提取必要的LDAP憑證|最終可以訪問網絡應用程序。但是,如果用戶的會話過期,則無法創建新的會話(可能是因爲不重新驗證),並且Web應用程序崩潰。我很好奇,通過將Apache字段設置爲更高的值,是否可以通過更高的值驗證新會話,因爲它可能會使用客戶端證書。 – 2013-05-03 14:09:33
問題是,瀏覽器會自動重發X.509證書,以防服務器(未找到客戶端發送的sessionID匹配)請求新會話。因此,除了在應用程序級別發生的情況之外,在SSLSessionCacheTimeout之後發生的新TLS會話創建應與第一個TLS會話創建不同。請注意,如果客戶端和服務器使用rfc5077「無服務器端狀態的會話恢復」,則不適用此選項。 – 2013-05-03 15:04:37