CASのTGTとService Ticketの期限切れ戦略について
1495 ワード
まず何がcasですか?
casはワンポイント登録のフレームです。しかし、アカウントを登録すると複数の関連システムにアクセスできる機能があります。クライアントCientとサービス端末Serverに分けられています。シングルポイントでログインしたシステムをクライアントに統合してサービスを展開すれば、多システムのシングルポイント登録が可能です。
次にcasの認証プロセスを説明します。
1)ユーザはcas-clientにアクセスし、ブロックされて
2)ログイン成功後、cas-serverはTGCチケットを発行し、ブラウザに書き込んで同時にTGTオブジェクトを生成し、自分のキャッシュに入れる。TGTオブジェクトのIDはクッキーの値であり、再度cas-clientにジャンプし、同時にSTチケットを携帯している。
cas-clientはSTの領収書があることを発見してSTの領収書を持ってcas-serverに行って検証して、もし検証が通るならば、ユーザー名の情報に帰ります。
3)cas-client登録に成功して、ユーザーが別のcas-client 2に訪問した時に、再度ブロックされてcas-serverにジャンプしてTGC領収書が生成されたTGT対象のID値が存在すると直接検証されます。ST手形を発行してcas-client 2に送ります。
つまりTGTが期限が切れたら、すべてのシステムがアクセスできなくなります。STは各システムに対してです。どちらもデフォルトの期限切れ戦略があり、自分のニーズに合わせて自分の期限切れ戦略を設定できます。
皱Default Expiration Policy落tgt.maxTimeToLiveInSeconds=28800
ヽoo.timeTokillInSeconds=7200
上記はcas.propertiesのデフォルトの賞味期限ポリシーです。 tgt.maxTimeToLiveInSecondsとは、TGTの最大生存時間、28800秒、つまり8時間を指します。 tgt.timeToKillInSecondsとは、ユーザがシステムを操作していない場合、7200秒後、つまり2時間後にTGTが期限が切れることを意味します。有効期限が過ぎたら再登録が必要です。
萼Service Ticket Timeout葂st.timeToKillInSeconds=10葂st.numberOfUses=1
上はSTのデフォルトの期限切れの策略です。ST.timeToKillInSeconds=10はあなたがアプリケーションシステムを訪問する時、cas serverは手形を発行しました。10秒以内にこのSTを持ってserverに検査してください。10秒過ぎたら期限が切れます。システムはアクセスできません。st.numberOfUses=1はSTが何回使っても期限が切れます。デフォルトは一回使ったら期限が切れます。
cas.propertiesには、もう一つの期限切れの戦略があります。
萼Inactivity Timeout Policy
鶼tgt.timeout.maxTimeToLiveInSeconds=28800
黙認の時間は8時間です。よく分かりません。まだその役割は研究されていません。よろしくお願いします。
casはワンポイント登録のフレームです。しかし、アカウントを登録すると複数の関連システムにアクセスできる機能があります。クライアントCientとサービス端末Serverに分けられています。シングルポイントでログインしたシステムをクライアントに統合してサービスを展開すれば、多システムのシングルポイント登録が可能です。
次にcasの認証プロセスを説明します。
1)ユーザはcas-clientにアクセスし、ブロックされて
cas-serverにログインし、正しいユーザ情報を入力する。2)ログイン成功後、cas-serverはTGCチケットを発行し、ブラウザに書き込んで同時にTGTオブジェクトを生成し、自分のキャッシュに入れる。TGTオブジェクトのIDはクッキーの値であり、再度cas-clientにジャンプし、同時にSTチケットを携帯している。
cas-clientはSTの領収書があることを発見してSTの領収書を持ってcas-serverに行って検証して、もし検証が通るならば、ユーザー名の情報に帰ります。
3)cas-client登録に成功して、ユーザーが別のcas-client 2に訪問した時に、再度ブロックされてcas-serverにジャンプしてTGC領収書が生成されたTGT対象のID値が存在すると直接検証されます。ST手形を発行してcas-client 2に送ります。
つまりTGTが期限が切れたら、すべてのシステムがアクセスできなくなります。STは各システムに対してです。どちらもデフォルトの期限切れ戦略があり、自分のニーズに合わせて自分の期限切れ戦略を設定できます。
皱Default Expiration Policy落tgt.maxTimeToLiveInSeconds=28800
ヽoo.timeTokillInSeconds=7200
上記はcas.propertiesのデフォルトの賞味期限ポリシーです。 tgt.maxTimeToLiveInSecondsとは、TGTの最大生存時間、28800秒、つまり8時間を指します。 tgt.timeToKillInSecondsとは、ユーザがシステムを操作していない場合、7200秒後、つまり2時間後にTGTが期限が切れることを意味します。有効期限が過ぎたら再登録が必要です。
萼Service Ticket Timeout葂st.timeToKillInSeconds=10葂st.numberOfUses=1
上はSTのデフォルトの期限切れの策略です。ST.timeToKillInSeconds=10はあなたがアプリケーションシステムを訪問する時、cas serverは手形を発行しました。10秒以内にこのSTを持ってserverに検査してください。10秒過ぎたら期限が切れます。システムはアクセスできません。st.numberOfUses=1はSTが何回使っても期限が切れます。デフォルトは一回使ったら期限が切れます。
cas.propertiesには、もう一つの期限切れの戦略があります。
萼Inactivity Timeout Policy
鶼tgt.timeout.maxTimeToLiveInSeconds=28800
黙認の時間は8時間です。よく分かりません。まだその役割は研究されていません。よろしくお願いします。