Я прошел через CAS
серверная документация снова и снова, и я хорошо осведомлен о потоке данных между клиентом, сервером и приложением.
Тем не менее, меня особенно интересует, что происходит в следующем сценарии:
CAS
серверPHPSESSID
Итак, как вы можете видеть, безопасность моя главная проблема здесь Как и когда токен сеанса / доступа проверяется / обновляется?
Этот вопрос о CAS
а также BeSimpleSsoAuthBundle
но я считаю, что это относится к другим аналогичным протоколам.
Вот что я попробовал:
CAS
на отдельной коробкеCAS
— успехTomcat
сервер, который работает CAS
Если я что-то пропустил, я буду более чем рад обновить мой вопрос 🙂
Отказ от ответственности: я председатель CAS и основатель CAS в облаке (https://www.casinthecloud.com).
Это общий дизайн CAS: у вас есть клиенты и сервер, что дает некоторые преимущества, но одной из основных проблем является тот факт, что после аутентификации в вашем приложении вы не сможете снова обмениваться данными с сервером CAS.
В реальной жизни, за исключением случаев, когда вы используете «помни меня», это, как правило, не проблема. Через несколько часов (в худшем случае) сеансы единого входа / веб-сеанса заканчиваются, и удаленный пользователь больше не может войти в систему.
Других решений пока нет …