我们正面临联邦身份验证的有趣行为。案例如下:
- 我们有4个站点(中继方)连接(或控制)到ACS,确保通过我们的STS服务登录。
- 如果触发从一个站点登录,则ACS联系STS,STS验证用户并将结果返回给ACS
- 如果正确的凭据,主会话(有效10分钟)在STS中进行,并且声明被发送回ACS,ACS使用安全令牌签名,并返回到呼叫者站点。
- 在来电网站上签名的FedAuth cookie已制作并存储
现在出现问题:
- 我们登录了4个网站,并导出了所有Cookie(我们使用“编辑此Cookie”Chrome扩展程序)
- 我们退出
- 现在我们返回导入这些导出的Cookie
- 重新加载页面
- 联合身份验证模块(FAM)对其进行检查,并且由于FedAuth cookie已签名有效,因此批准该用户并重新登录用户
- 请注意,他只签了一页。在其他3个页面上,我们是未签名的
所以,问题是,我们怎样才能确保,退出后,FAM知道,即使FedAuth cookie被正确签名,用户也已经注销,因此拒绝访问受保护的内容?
事先提前