0

私はApache、Tomcat、およびIIS 7.5でcacスマートカードを使用して強力な認証を実装しましたが、問題は、クライアントがリーダーからスマートカードを取り外したときに、まだサーバーに完全にアクセスできることです。スマートカードが取り外された後、認証マネージャーまたはセッション切断クライアントを作成する方法。

セッションは、接続済みまたは切断済みの 2 つの状態のいずれかになります。

接続済み: 接続ステータスのすべてのセッションがクライアントに表示されます。ユーザーがスマート カードを取り外すか、クライアントを別のセッションに明示的に切り替えると、セッションは自動的に切断されます。

切断: これらのセッションはサーバー上で実行されますが、クライアントに接続されていないため、表示されません。ただし、ユーザーは、適切なトークンを含むスマート カードをクライアントのカード リーダーに挿入するなどして、切断されたセッションに再接続できます。これにより、セッションの状態が接続済みに変更され、そのクライアントに表示されます。

4

1 に答える 1

0

以前にも同様の質問があったと思いますが、リンクが見つかりません (おそらく「ログアウトをクリックしたときに ssl セッションをフラッシュする」など)。ここで重要なのは、SSL (再) ネゴシエーションと SSL セッション キャッシングです。

2 つのオプションがあります。サーバーからの SSL セッション キャッシュを減らす (接続が遅くなる) ため、カードが取り外されたときにすぐに再ネゴシエーションの失敗を強制するか (Apache mod_ssl のデフォルトのセッション キャッシュ タイムアウトは IIRC 300 秒でした)、またはカードの取り外しを検出し、クライアント側でセッションを無効にするブラウザ プラグイン (専用のクライアント ソフトウェアがない場合) (または、サーバー側でもセッションをフラッシュするようにサーバーに信号を送信することさえあります)。

Web サービスについて話している場合、標準ツールでは「完全な制御」を行うことはできません...

于 2012-09-13T07:16:00.393 に答える