所以这与我的问题有关:Authentication Cookie
我们目前的组织有一个CAS SSO系统。我管理多个在ColdFusion中都使用自己的会话的应用程序。我可以使用SSO系统进行身份验证,但是当用户退出我的某个系统时,我想确保将其从我的所有系统中注销,但我不知道他们必须使用哪些系统。试着以实际的方式做到这一点。好消息是我的所有应用程序都在同一个子域中。 SO ...
我在子域级别设置了三个cookie,到期时间为30分钟。
我的想法是,如果用户试图更改用户标识,则HASH检查将失败。如果有人上机并尝试更改过期,则HASH检查将失败。因此,希望使这安全。当有人退出我的系统时,我会清除与所有人共享的cookie,如果他们返回任何系统,他们将被迫再次登录。我验证每个页面加载的哈希并定期刷新cookie以延长到期时间。
编辑:此外,如果用户登录到app1然后转到app2,我不会使用cookie进行身份验证,我会将它们发送回SSO,并且只有当他们仍然登录到SSO时,他们才能获得因此,我只使用cookie来记录它们并确保它们仍然登录。 结束编辑
除了用户ID是暴露的"在cookie中这是安全/可能会失败或受到损害的地方?
如果可以避免,我不想在数据库中存储会话或类似内容。