3
我翻遍了CAS
服務器文檔,並且非常瞭解客戶端,服務器和應用程序之間的數據流。CAS協議 - 刷新令牌?
不過,我在下面的情況下會發生什麼特別感興趣:
- 用戶到達應用程序,輸入憑據,並得到由
CAS
服務器 - PHP接收答案的授權,造成
PHPSESSID
- 在某個時間點,管理員從註冊表中刪除該用戶(無論是DBMS,LDAP還是其他)
- 用戶發送受保護資源請求 - 接收到資源
所以,你可能會看到,安全是我的主要問題在這裏。會話/訪問令牌如何以及何時被驗證/刷新?
這個問題是關於CAS
和BeSimpleSsoAuthBundle
,但我相信它適用於其他類似目的的協議。
這是我曾嘗試:
- 安裝/上單獨的盒子配置
CAS
- 安裝/配置上的另一盒applicaation
- 使用的應用程序通過
CAS
驗證 - 成功 - 用戶嘗試訪問受保護的資源 - 成功
- 降低
Tomcat
運行的服務器CAS
- 試圖訪問受保護的資源應用 - 成功
如果我錯過了一些東西,我會更樂意來更新我的問題:)
謝謝@jleleu。我不知道這樣的概念。但是,我會在我的應用程序中使用記憶我選項。儘管如此,由於我的應用程序將託管在單個服務器上,因此我覺得我可以訪問會話的商店並刪除一個需要(當然是自動)。你有其他建議嗎? :) – 2014-09-26 06:52:35
似乎對我很好。對於長時間的會話(請記住我),您需要對用戶執行較短的檢查以確保他仍然存在 – jleleu 2014-09-26 12:29:26
非常感謝@jleleu :)我正在爲一個項目開展一些研究工作,這項工作將在幾周內開始,如果你看到關於CAS的更多問題,我不會感到驚訝;) – 2014-09-28 23:07:48