我在apache,tomcat和IIS 7.5上使用cac智能卡实现了强大的身份验证,但问题是当客户端从阅读器中删除智能卡时,他仍然可以完全访问服务器。 所以如何在智能卡被移除后创建一个authentificator mamager或session disconnect client。
会话可以处于以下两种状态之一:已连接或已断开连接:
已连接:客户端上会显示每个具有已连接状态的会话。当用户移除智能卡或明确地将客户端切换到其他会话时,会话将自动断开连接。
已断开连接:这些会话仍在服务器上执行,但未连接到客户端,因此不会显示。但是,用户可以重新连接到断开的会话,例如通过将包含适当令牌的智能卡插入客户端的读卡器中。这会将会话的状态更改为已连接,并使其显示在该客户端上。
答案 0 :(得分:0)
我认为之前已经提出了类似的问题,但我找不到链接(可能类似于“点击退出时刷新ssl会话”)。这里的关键是SSL(重新)协商和SSL会话缓存。
您有两种选择:从服务器减少SSL会话缓存(减慢连接速度),从而在删除卡时强制执行失败的重新协商(Apache mod_ssl中的默认会话缓存超时为IIRC 300秒)或者实现一个浏览器插件(除非你有专用的客户端软件),它检测到卡的移除,从而使客户端的会话无效(或者甚至可以向服务器发送信号以刷新服务器端的会话)。
如果您正在谈论网络服务,您永远无法使用标准工具“完全控制”......