我一遍又一遍地查看了CAS
服务器文档,并且非常了解客户端,服务器和应用程序之间的数据流。
但是,我对以下场景中发生的事情特别感兴趣:
CAS
服务器PHPSESSID
因此,正如您所看到的,安全性是我的主要问题。会话/访问令牌如何以及何时得到验证/刷新?
此问题与CAS
和BeSimpleSsoAuthBundle
有关,但我相信它适用于其他类似用途的协议。
这就是我的尝试:
CAS
CAS
- 成功Tomcat
CAS
服务器
如果我错过了某些内容,我会非常乐意更新我的问题:)
答案 0 :(得分:1)
免责声明:我是CAS的主席,也是CAS的创始人(https://www.casinthecloud.com)。
CAS的一般设计:您拥有客户端和服务器,这提供了一些优势,但主要关注点之一是在您的应用程序中进行身份验证后,您可能无法与CAS通信再次服务器。
在现实生活中,除非你使用记住我,否则它通常不是问题。几个小时后(最糟糕的情况),SSO / Web会话结束,被删除的用户无法再登录。