防止FedAuth cookie插入

时间:2015-06-18 08:31:49

标签: authentication azure acs

我们正面临联邦身份验证的有趣行为。案例如下:

  • 我们有4个站点(中继方)连接(或控制)到ACS,确保通过我们的STS服务登录。
  • 如果触发从一个站点登录,则ACS联系STS,STS验证用户并将结果返回给ACS
  • 如果正确的凭据,主会话(有效10分钟)在STS中进行,并且声明被发送回ACS,ACS使用安全令牌签名,并返回到呼叫者站点。
  • 在来电网站上签名的FedAuth cookie已制作并存储

现在出现问题:

  • 我们登录了4个网站,并导出了所有Cookie(我们使用“编辑此Cookie”Chrome扩展程序)
  • 我们退出
  • 现在我们返回导入这些导出的Cookie
  • 重新加载页面
  • 联合身份验证模块(FAM)对其进行检查,并且由于FedAuth cookie已签名有效,因此批准该用户并重新登录用户
  • 请注意,他只签了一页。在其他3个页面上,我们是未签名的

所以,问题是,我们怎样才能确保,退出后,FAM知道,即使FedAuth cookie被正确签名,用户也已经注销,因此拒绝访问受保护的内容?

事先提前

0 个答案:

没有答案