Java 中央认证服务器体系结构和认证流程
最近,当我在使用CAS服务器时,遇到了一个概念上的问题。。。据我所知,一旦票证验证成功,该票证就会被删除。。。但是为什么呢?用户角色的具体检查位置Java 中央认证服务器体系结构和认证流程,java,cas,Java,Cas,最近,当我在使用CAS服务器时,遇到了一个概念上的问题。。。据我所知,一旦票证验证成功,该票证就会被删除。。。但是为什么呢?用户角色的具体检查位置 ThanxCAS服务票证一次性使用,以消除重播攻击的风险。如果您使用推荐的设置,您的客户机应该只通过HTTPS与CAS服务器通信,因此当从CAS服务器获取服务票证时,它仍然是保密的。但是,客户机可能会在未加密的通道(即HTTP)上向所需的服务提供票证。因此,在第一次使用之后,假设它是秘密的就不再安全了。此外,一次使用是验证客户机所需的全部,因此在这之
ThanxCAS服务票证一次性使用,以消除重播攻击的风险。如果您使用推荐的设置,您的客户机应该只通过HTTPS与CAS服务器通信,因此当从CAS服务器获取服务票证时,它仍然是保密的。但是,客户机可能会在未加密的通道(即HTTP)上向所需的服务提供票证。因此,在第一次使用之后,假设它是秘密的就不再安全了。此外,一次使用是验证客户机所需的全部,因此在这之后允许其他使用没有多大意义。这只是自找麻烦
当涉及到用户角色时,这取决于您的应用程序。CAS的目的是告诉您正在与谁打交道(身份验证),而且它做得很好。特定用户在您的应用程序中可以做什么(授权)是一个不同的问题,而不是CAS想要解决的问题。默认情况下,ServiceTicket(ST)只能使用一次,并且只能短时间使用(它绑定到
MultiTimeUseOrTimeoutExpirationPolicy
)。这就像迈克在他的回答中说的,以确保它不会被滥用。如果您确实需要更改此预设置,可以通过更改ticketExpirationPolicy.xml
文件来更改此预设置,我已经在上面写过了
但是,TicketGrantingTicket(TGT)保持活动状态,默认情况下仅绑定到TimeoutExpirationPolicy
,不受请求量的限制。从TGT中,CAS可以根据需要创建任意数量的STs