最近,当我使用CAS服务器时,出现了一个概念性问题......正如我在理解票证验证成功之后,该票证即将被擦除......但是为什么?用户角色在哪里检查?中心身份验证服务器体系结构和身份验证流程
Thanx
最近,当我使用CAS服务器时,出现了一个概念性问题......正如我在理解票证验证成功之后,该票证即将被擦除......但是为什么?用户角色在哪里检查?中心身份验证服务器体系结构和身份验证流程
Thanx
默认情况下,ServiceTicket(ST)只能使用一次,并且仅在短时间内使用(其绑定为MultiTimeUseOrTimeoutExpirationPolicy
)。这就像迈克所说的那样,以确保它没有被滥用。这种预先设置可以,如果你真的需要,我通过改变ticketExpirationPolicy.xml
文件
然而TicketGrantingTicket(TGT)保持活跃,默认情况下只绑定到TimeoutExpirationPolicy
而不是由量的限制已经写上another post改变的请求。根据TGT,CAS可以根据需要创建尽可能多的ST。
CAS服务票据一次性用于消除重播攻击的风险。如果您使用推荐的设置,则客户端应该只通过HTTPS与CAS服务器通话,所以当从CAS服务器获取服务票据时,它仍然是保密的。然而,客户端可能会在未加密的通道(即HTTP)上向客户端呈现所需的服务。因此,假设它在第一次使用后是保密的,这已经不再安全。此外,一次使用是验证客户端所需的全部内容,因此在此之后允许额外的使用没有多大意义。这只是要求麻烦。
当谈到用户角色时,这取决于您的应用程序。 CAS的目的是告诉你你正在处理的是谁(认证),并且它做得很好。允许特定用户在您的应用程序(授权)中做什么是一个不同的问题,而不是CAS想要解决的问题。