2014-09-23 184 views
3

我翻遍了CAS服務器文檔,並且非常瞭解客戶端,服務器和應用程序之間的數據流。CAS協議 - 刷新令牌?

不過,我在下面的情況下會發生什麼特別感興趣:

  • 用戶到達應用程序,輸入憑據,並得到由CAS服務器
  • PHP接收答案的授權,造成PHPSESSID
  • 在某個時間點,管理員從註冊表中刪除該用戶(無論是DBMS,LDAP還是其他)
  • 用戶發送受保護資源請求 - 接收到資源

所以,你可能會看到,安全是我的主要問題在這裏。會話/訪問令牌如何以及何時被驗證/刷新?

這個問題是關於CASBeSimpleSsoAuthBundle,但我相信它適用於其他類似目的的協議。

這是我曾嘗試:

  • 安裝/上單獨的盒子配置CAS
  • 安裝/配置上的另一盒applicaation
  • 使用的應用程序通過CAS驗證 - 成功
  • 用戶嘗試訪問受保護的資源 - 成功
  • 降低Tomcat運行的服務器CAS
  • 試圖訪問受保護的資源應用 - 成功

如果我錯過了一些東西,我會更樂意來更新我的問題:)

回答

1

聲明(?!):我他是中科院院長,中科院院士的創始人(https://www.casinthecloud.com)。

這是CAS的一般設計:您有客戶端和服務器,它提供了一些優勢,但其中一個主要問題是,在您的應用程序中經過身份驗證之後,您可能無法再與CAS服務器再次通信。

在現實生活中,除非使用記憶我,否則通常不是問題。幾小時後(最壞情況),SSO /網絡會話結束,被移除的用戶無法再登錄。

+0

謝謝@jleleu。我不知道這樣的概念。但是,我會在我的應用程序中使用記憶我選項。儘管如此,由於我的應用程序將託管在單個服務器上,因此我覺得我可以訪問會話的商店並刪除一個需要(當然是自動)。你有其他建議嗎? :) – 2014-09-26 06:52:35

+0

似乎對我很好。對於長時間的會話(請記住我),您需要對用戶執行較短的檢查以確保他仍然存在 – jleleu 2014-09-26 12:29:26

+0

非常感謝@jleleu :)我正在爲一個項目開展一些研究工作,這項工作將在幾周內開始,如果你看到關於CAS的更多問題,我不會感到驚訝;) – 2014-09-28 23:07:48