したがって、mod_auth_openidc を使用して Apache サーバー上にワイルドカード ホストがあります。私の Apache 構成の関連ビットは次のとおりです。
<VirtualHost *:443>
ServerAlias *.sub.mydomain.com
OIDCRedirectURI https://sub.mydomain.com/oauth2callback
OIDCCookieDomain sub.mydomain.com
ユーザーが foo.sub.mydomain.com で認証され、再度ログインしなくても bar.sub.mydomain.com で認証されるのを妨げるものはありますか?
いいえ、それはセッション Cookie がオンに設定されsub.domain.comてfoo.sub.mydomain.comいるため機能し、bar.sub.mydomain.com.
コメントに記載されていることは、同じブラウザーの同じユーザーであるため、実際には攻撃ではありません。ブラウザで手動で処理することを除いて、上記と同等のものです...別のユーザーからCookieを盗むことができるという問題がありますが、それはmod_auth_openidcに固有ではない攻撃であり、仮定することは不可能ですすべてが https で実行され、ブラウザにマルウェアはありません。
本当に分離が必要な場合は、仮想ホストに分割して、各ホストで異なる mod_auth_openidc 構成を実行できます。その場合、Apache Cookie は 2 つのホスト間で再利用できなくなります。もちろん、両方のホストは引き続き認証のために OP にリダイレクトし、そこに 2 つのセッションを暗黙的にバインドする SSO セッション + Cookie が存在する可能性があります。