После входа в мое веб-приложение пользователям необходимо пройти аутентификацию с помощью сертификата X.509.Apache «SSLSessionCacheTimeout» с сертификатами клиента
После периода бездействия пользователь попытается продолжить использование сайта. В этот момент будет предпринята новая сессия, но не удастся. Это не удается из-за того, что повторная аутентификация не происходит.
Если бы я должен был увеличить Apache SSLSessionCacheTimeout
, скажем, 8 часов, то клиенту больше не понадобится повторная аутентификация во время создания сеанса?
Примечание - предполагается, что новый сеанс должен быть создан в течение 8 часов, установленных для Apache SSLSessionCacheTimeout
.
EDIT Или сеанс SSL не влияет на сеансы HTTPS вообще?
Повторное обсуждение сеанса SSL не должно оказывать никакого влияния на сеанс уровня приложения. Не могли бы вы быть более конкретными в отношении того, что вы подразумеваете под «пользователи должны пройти аутентификацию с помощью сертификата X.509», и «новый сеанс будет предпринят, но сбой. Это не удается из-за того, что повторная аутентификация не происходит «. ? –
Пользователь сначала регистрируется в веб-приложении | выбирает сертификат со смарт-карты | пользовательский код безопасности Spring извлекает необходимые учетные данные LDAP | в конечном итоге получает доступ к веб-приложению. Однако, если сеанс пользователя истекает, новый сеанс не может быть создан (предположительно, поскольку повторная аутентификация не возникает), и веб-приложение выходит из строя. Мне было любопытно, установил ли это поле Apache более высокое значение, если новый сеанс может быть аутентифицирован в результате более высокого значения, поскольку он предположительно использует сертификат клиента. –
Дело в том, что браузер автоматически отправит сертификат X.509 в случае, если сервер (не найдя соответствия для идентификатора sessionID, отправленного клиентом) запросит новый сеанс. Таким образом, помимо того, что происходит на уровне приложения, новое создание сеанса TLS, возникающее после SSLSessionCacheTimeout, не должно отличаться от первого сеанса сеанса TLS. Обратите внимание, что это не применяется, если клиент и сервер используют rfc5077 «Возобновление сеанса без состояния сервера». –