CAS协议 - 刷新令牌?

时间:2014-09-23 22:39:49

标签: php symfony authentication cas

我一遍又一遍地查看了CAS服务器文档,并且非常了解客户端,服务器和应用程序之间的数据流。

但是,我对以下场景中发生的事情特别感兴趣:

  • 用户到达应用程序,输入凭据并获得CAS服务器
    • 的授权
  • PHP收到答案,创建PHPSESSID
  • 在某个时间点,管理员从注册表中删除该用户(无论是DBMS,LDAP还是其他)
  • 用户发送受保护资源请求 - 接收资源

因此,正如您所看到的,安全性是我的主要问题。会话/访问令牌如何以及何时得到验证/刷新?

此问题与CASBeSimpleSsoAuthBundle有关,但我相信它适用于其他类似用途的协议。

这就是我的尝试:

  • 在单独的框中安装/配置CAS
  • 在另一个方框上安装/配置应用程序
  • 使用的应用程序通过CAS - 成功
    • 进行身份验证
  • 用户尝试访问受保护资源 - 成功
  • 关闭运行Tomcat
    • CAS服务器
  • 尝试访问应用程序中的受保护资源 - 成功(?!)

如果我错过了某些内容,我会非常乐意更新我的问题:)

1 个答案:

答案 0 :(得分:1)

免责声明:我是CAS的主席,也是CAS的创始人(https://www.casinthecloud.com)。

CAS的一般设计:您拥有客户端和服务器,这提供了一些优势,但主要关注点之一是在您的应用程序中进行身份验证后,您可能无法与CAS通信再次服务器。

在现实生活中,除非你使用记住我,否则它通常不是问题。几个小时后(最糟糕的情况),SSO / Web会话结束,被删除的用户无法再登录。

相关问题
最新问题