我们正在使用 ITfoxtec.Identity.Saml2 库向我们的 SSO 进行身份验证 服务。
问题是我们在负载平衡的服务器上使用它。如果我们关闭粘性会话,应用程序将不再运行。
我尝试在创建会话时设置 isPersistent=true,但没有任何影响。我已经看到发布了与跨网络场存储 SAML 状态相关的类似问题,建议范围包括:
更改配置以使 webfarm 上的所有服务器使用相同的机器密钥 创建相当于状态服务的内容来存储身份验证。
我认为有一种方法可以将用户状态本地存储在 cookie 中,无论是否使用负载平衡,该 cookie 都可以重复使用。
关于如何攻击这个有什么建议吗?
【问题讨论】:
标签: load-balancing saml-2.0 web-farm itfoxtec-identity-saml2
使用 ITfoxtec.Identity.Saml2.Mvc 和 ASP.NET MVC,isPersitent 是 CreateSession 方法的参数。中使用的CreateSession 方法
ASP.NET sample application.
在接受 SAML 2.0 响应后调用该方法以创建由 SessionAuthenticationModule 处理的用户身份 cookie。
默认用户身份 cookie 不是持久的。设置 isPersitent=true 会导致创建持久的用户身份 cookie。 isPersitent 设置与负载平衡无关。
应该可以通过设置isReferenceMode=true来支持负载均衡。引用模式将用户身份 cookie 从自包含变为指针。
在引用模式下,在序列化期间会生成一个简单的工件,并且令牌材料存储在与令牌处理程序关联的令牌缓存中。令牌缓存是派生自 SessionSecurityTokenCache 的类的实例。对于 Web Farm 场景,令牌缓存必须在场中的所有节点上运行。
也许你需要实现一个令牌缓存。
更新:
很抱歉,我没有示例。相反,我添加了一些可能对您有帮助的链接。
【讨论】: