Arhn - архитектура программирования

Срок действия утверждения Spring Security SAML с истечением срока действия сеанса приложения

Я путаюсь с истечением срока действия утверждения SAML и истечением срока действия сеанса приложения.

Проще говоря, когда у нас есть приложение, развернутое в контейнере, создается сеанс. Срок действия этого сеанса можно контролировать с помощью приведенной ниже записи в файле web.xml.

<session-config>
    <session-timeout>60</session-timeout>
</session-config>

Двигаясь дальше, когда у меня есть Spring Security с расширением SAML, очевидно, применяется та же концепция сеанса. (Я развертываю приложение в WildFly 8.2, если это имеет значение)

Кроме того, когда сеанс приложения истекает, поведение выхода из системы похоже на концепцию локального выхода.

Все идет нормально. Теперь предположим, что утверждение SAML верно в течение 2 часов, и пользователь активно работает в течение 2 часов. Что тогда должно произойти с последующим запросом? Должен ли он повторно войти в IDP? Но не будет ли это неудобно для пользователя? Если приложение перенаправляется на IDP для повторного входа через 2 часа после истечения срока действия подтверждения, как следует обрабатывать запросы AJAX?

Это относится к вопросу здесь

angularjs spring-security session saml-2.0 spring-saml
29.04.2015

Ответы:


1

Spring SAML выдает ExpiringUsernameAuthenticationToken для аутентифицированных пользователей. Маркер начинает возвращать false в своем методе isAuthenticated(), как только утверждение SAML, используемое для аутентификации пользователя, достигает своего sessionNotOnOrAfter времени.

Это поведение можно отключить, переопределив SAMLAuthenticationProvider и изменив метод getExpirationDate(credential), который возвращает время по истечении срока действия Assertion, или null, если он никогда не наступает. Затем приложение будет полностью полагаться на истечение срока действия сеанса, настроенное в контейнере.

По истечении срока действия ExpiringUsernameAuthenticationToken Spring Security передаст текущий токен в AuthenticationManager (настроенный в securityContext.xml в разделе <security:authentication-manager>).

Вы можете повлиять на то, что произойдет дальше, добавив свой собственный AuthenticationProvider, способный обрабатывать ExpiringUsernameAuthenticationToken. В противном случае система выйдет из строя с ProviderNotFoundException или каким-либо другим AuthenticationException, например BadCredentialsException (если вы одновременно используете аутентификацию по имени пользователя и паролю).

Исключение впоследствии обрабатывается ExceptionTranslationFilter, который запускает новый процесс аутентификации, вызывая настроенную аутентификацию EntryPoint - например. SAMLEntryPoint, который либо запускает аутентификацию с IDP по умолчанию, либо отображает страницу выбора IDP. Как вы говорите, процесс также будет выполнять локальный выход из системы.

Система по умолчанию ведет себя одинаково для всех вызовов HTTP - AJAX или нет. Вы можете определить другое поведение, разделив API и обычные URL-адреса на отдельные <security:http> элементы и используя разные EntryPoints (интерфейс AuthenticationEntryPoint) для каждого из них. Например, Http403ForbiddenEntryPoint может подойти для ваших вызовов AJAX.

30.04.2015
Новые материалы
Коллекции публикаций по глубокому обучению
Последние пару месяцев я создавал коллекции последних академических публикаций по различным подполям глубокого обучения в моем блоге https://amundtveit.com - эта публикация дает обзор 25..
Представляем: Pepita
Фреймворк JavaScript с открытым исходным кодом Я знаю, что недостатка в фреймворках JavaScript нет. Но я просто не мог остановиться. Я хотел написать что-то сам, со своими собственными..
Советы по коду Laravel #2
1-) Найти // You can specify the columns you need // in when you use the find method on a model User::find(‘id’, [‘email’,’name’]); // You can increment or decrement // a field in..
Работа с временными рядами спутниковых изображений, часть 3 (аналитика данных)
Анализ временных рядов спутниковых изображений для данных наблюдений за большой Землей (arXiv) Автор: Рольф Симоэс , Жильберто Камара , Жильберто Кейрос , Фелипе Соуза , Педро Р. Андраде ,..
3 способа решить квадратное уравнение (3-й мой любимый) -
1. Методом факторизации — 2. Используя квадратичную формулу — 3. Заполнив квадрат — Давайте поймем это, решив это простое уравнение: Мы пытаемся сделать LHS,..
Создание VR-миров с A-Frame
Виртуальная реальность (и дополненная реальность) стали главными модными терминами в образовательных технологиях. С недорогими VR-гарнитурами, такими как Google Cardboard , и использованием..
Демистификация рекурсии
КОДЕКС Демистификация рекурсии Упрощенная концепция ошеломляющей О чем весь этот шум? Рекурсия, кажется, единственная тема, от которой у каждого начинающего студента-информатика..