Security SSO/Cookies/Authentication：这安全吗？

我的问题是这样的：

我们目前的组织有一个CAS SSO系统。我管理多个应用程序，它们都在ColdFusion中使用自己的会话。我可以使用SSO系统进行身份验证，但当用户从我的一个系统注销时，我想确保我将他们从我的所有系统注销，但我不知道他们在哪些系统中。试着用一种实际的方式来做这件事。好的是我所有的应用程序都在同一个子域上。所以

我在子域级别设置了三个cookie，过期时间为30分钟

• Cookie A:包含用户ID
• Cookie B：包含一个带有过期日期/时间的字符串
• 曲奇C：包含两个的杂凑，并加入一些盐

我的想法是，如果用户试图更改userid，哈希检查将失败。如果有人进入机器并试图更改过期时间，哈希检查将失败。因此，希望这是安全的。当有人从我的系统中注销时，我会清除与他们共享的cookie，如果他们返回任何系统，他们将被迫再次登录。我在每次页面加载时验证哈希，并定期刷新cookie以延长过期时间

编辑：另外，如果用户登录到app1，然后转到app2，我不会使用cookie进行身份验证，我会将它们发送回SSO，只有当它们仍然登录到SSO时，它们才会进入。因此，我只使用cookie将它们注销，并确保它们仍然登录。 结束编辑

除了用户ID在cookie中“公开”这一事实之外，这是否安全/这在哪里会失败或被破坏

---

如果可以避免的话，我不想将会话或类似的内容存储在数据库中。

我已经考虑过了，我不认为这会带来什么值得尊敬的威胁（用户先生，请继续，找到确切的哈希，以便延长会话时间）。就像你说的，你不是用它让用户进入，你只是用它来知道用户是否应该被强制退出（因为他们在另一个应用中单击了注销）。这不是打开办公室门的钥匙，而是你的老板告诉你他锁上了，该回家了。唯一可能的问题是，我不认为这是一个问题，这听起来像是如果用户登录到站点a，然后登录到站点b，然后登录到站点c，然后从站点b注销并返回到站点b，他们仍然在站点a和站点c中保留会话。但是，既然他们可以自己登录站点A和站点C，这听起来并不是什么问题。谢谢您的反馈。我已经将其设置为，如果他们登录到app1，然后通过其他方法注销SSO，而另一个登录并转到app1，则即使第一个用户app1会话仍然处于活动状态，它也会双重检查哈希并切换用户。