Протокол CAS — обновить токен?

Я прошел через CAS серверная документация снова и снова, и я хорошо осведомлен о потоке данных между клиентом, сервером и приложением.

Тем не менее, меня особенно интересует, что происходит в следующем сценарии:

  • Пользователь приходит в приложение, вводит учетные данные и авторизуется CAS сервер
  • PHP получает ответ, создает PHPSESSID
  • В какой-то момент администратор удаляет этого пользователя из реестра (будь то СУБД, LDAP или что-то еще)
  • Пользователь отправляет запрос на защищенный ресурс — получает ресурс

Итак, как вы можете видеть, безопасность моя главная проблема здесь Как и когда токен сеанса / доступа проверяется / обновляется?

Этот вопрос о CAS а также BeSimpleSsoAuthBundle но я считаю, что это относится к другим аналогичным протоколам.

Вот что я попробовал:

  • Установленные / сконфигурировано CAS на отдельной коробке
  • Установлено / настроено приложение на другом боксе
  • Используется приложение для аутентификации через CAS — успех
  • Пользователь пытается получить доступ к защищенному ресурсу — успех
  • Сбил Tomcat сервер, который работает CAS
  • Пытался получить доступ к защищенному ресурсу в приложении — успех (?!)

Если я что-то пропустил, я буду более чем рад обновить мой вопрос 🙂

3

Решение

Отказ от ответственности: я председатель CAS и основатель CAS в облаке (https://www.casinthecloud.com).

Это общий дизайн CAS: у вас есть клиенты и сервер, что дает некоторые преимущества, но одной из основных проблем является тот факт, что после аутентификации в вашем приложении вы не сможете снова обмениваться данными с сервером CAS.

В реальной жизни, за исключением случаев, когда вы используете «помни меня», это, как правило, не проблема. Через несколько часов (в худшем случае) сеансы единого входа / веб-сеанса заканчиваются, и удаленный пользователь больше не может войти в систему.

1

Другие решения

Других решений пока нет …