Jetty에서 JSESSIONID 세션 쿠키 도메인의 싱글 사인온 변경 도메인 지원

Question

JETTY에서 싱글 사인온을 지원하려고하고 있으며 Jetty's SSO support을 통해 싱글 사인온을 지원하는 웹 서버를 실행하는 2 개의 하위 도메인이 있습니다.

account.test.com app.test.com

우리는 내 부두 서버가 실행되는지 확인해야 * .test.com하지만 사인 오프를 지원하기 위해 설정되는 SSOSession 쿠키가 app.test.com에 JSESSIONID 쿠키 재설정이 있습니다.

FormAuthenticator가 호출 될 때 SSOSession 쿠키의 유효성 검사를 지원하기 위해 FormAuthenticator와 SSORealm을 재정의하는 데 현재 Jetty JAAS을 사용하고 있습니다.

사용자가 account.test.com에 로그인 할 수있게 허용하면 app.test.com에서 사용중인 JSESSIONID 쿠키가 무효화됩니다.

내가 할 수있는 한 가지 해결책은 아마도 SSOSession 쿠키의 변경을 감지하고 내 서버에서 JSESSIONID를 무효화하는 것입니다.

Answer 1

나는 부두 (Jetty) 나 JSESSIONID가 어떻게 작동하는지 모르지만 JSESSIONID의 유효성을 특정 SSOSession 쿠키에 연결하려는 것처럼 들린다.

가능성 - 새 JSESSIONID를 제외하고 app.test.com에서 새 세션을 만들 때 도메인 app.test.com에서 SSOSig = MD5 (JSESSIONID + SSOSessionCookie + secret)라고하는 새 쿠키를 설정하십시오.

사용자가 app.test.com과 상호 작용하면 서버는 JSESSIONID, SSOSig 및 SSOSessionID를 수신합니다. account.test.com에 로그인하여 SSOSessionID가 변경된 경우 JSESSIONID, SSOSig 및 SSOSessionID '를 받게됩니다. 이제 MD5 (JSESSIONID + SSOSessioID '+ secret)! = SSOSig 이후 SSOSig를 확인하려는 시도가 실패하고이 시점에서 JSESSIONID를 무효화 할 수 있습니다.