Security SSO/Cookies/Authentication:这安全吗?
我的问题是这样的: 我们目前的组织有一个CAS SSO系统。我管理多个应用程序,它们都在ColdFusion中使用自己的会话。我可以使用SSO系统进行身份验证,但当用户从我的一个系统注销时,我想确保我将他们从我的所有系统注销,但我不知道他们在哪些系统中。试着用一种实际的方式来做这件事。好的是我所有的应用程序都在同一个子域上。所以 我在子域级别设置了三个cookie,过期时间为30分钟Security SSO/Cookies/Authentication:这安全吗?,security,cookies,coldfusion,single-sign-on,Security,Cookies,Coldfusion,Single Sign On,我的问题是这样的: 我们目前的组织有一个CAS SSO系统。我管理多个应用程序,它们都在ColdFusion中使用自己的会话。我可以使用SSO系统进行身份验证,但当用户从我的一个系统注销时,我想确保我将他们从我的所有系统注销,但我不知道他们在哪些系统中。试着用一种实际的方式来做这件事。好的是我所有的应用程序都在同一个子域上。所以 我在子域级别设置了三个cookie,过期时间为30分钟 Cookie A:包含用户ID Cookie B:包含一个带有过期日期/时间的字符串 曲奇C:包含两个的杂凑,
- Cookie A:包含用户ID
- Cookie B:包含一个带有过期日期/时间的字符串
- 曲奇C:包含两个的杂凑,并加入一些盐
如果可以避免的话,我不想将会话或类似的内容存储在数据库中。我已经考虑过了,我不认为这会带来什么值得尊敬的威胁(用户先生,请继续,找到确切的哈希,以便延长会话时间)。就像你说的,你不是用它让用户进入,你只是用它来知道用户是否应该被强制退出(因为他们在另一个应用中单击了注销)。这不是打开办公室门的钥匙,而是你的老板告诉你他锁上了,该回家了。唯一可能的问题是,我不认为这是一个问题,这听起来像是如果用户登录到站点a,然后登录到站点b,然后登录到站点c,然后从站点b注销并返回到站点b,他们仍然在站点a和站点c中保留会话。但是,既然他们可以自己登录站点A和站点C,这听起来并不是什么问题。谢谢您的反馈。我已经将其设置为,如果他们登录到app1,然后通过其他方法注销SSO,而另一个登录并转到app1,则即使第一个用户app1会话仍然处于活动状态,它也会双重检查哈希并切换用户。