所以我在使用mod_auth_openidc的Apache服务器上有一个通配符主机 我的Apache配置的相关位是:
<VirtualHost *:443>
ServerAlias *.sub.mydomain.com
OIDCRedirectURI https://sub.mydomain.com/oauth2callback
OIDCCookieDomain sub.mydomain.com
是否有任何阻止用户使用foo.sub.mydomain.com进行身份验证的内容,然后还需要使用bar.sub.mydomain.com进行身份验证而无需再次登录?
答案 0 :(得分:0)
不,这是有效的,因为会话Cookie是在sub.domain.com上设置的,因此会在foo.sub.mydomain.com以及bar.sub.mydomain.com上收到。
您在评论中描述的内容实际上不是攻击,因为它是同一浏览器中的同一用户。排除相当于上面提到的内容,除了在浏览器中手动处理...这将是一个问题,你可以以某种方式从另一个用户窃取一个cookie,但然后再次,这将是一个不特定于mod_auth_openidc的攻击,是不可能的假设一切都在https上运行,浏览器中没有恶意软件。
如果确实需要分离,可以拆分为虚拟主机,并在每个主机中运行不同的mod_auth_openidc配置。然后Apache cookie不能在两台主机上重复使用。当然,两个主机仍然会重定向到OP进行身份验证,并且可能存在一个SSO会话+ cookie,它会隐式地将两个会话绑定在一起。