Так у меня есть подстановочный хост на Apache сервере с помощью mod_auth_openidc соответствующих биты моего Apache конфигурации являются:Использование поддоменов печенья с mod_auth_openidc
<VirtualHost *:443>
ServerAlias *.sub.mydomain.com
OIDCRedirectURI https://sub.mydomain.com/oauth2callback
OIDCCookieDomain sub.mydomain.com
Есть что-нибудь, что бы запретить пользователь аутентификации с обув. sub.mydomain.com, а затем аутентифицироваться с помощью bar.myomain.com без необходимости повторного входа в систему?
В качестве последующего вопроса, если у меня есть два отдельных файла конфигурации, которые не используют подстановочные домены, что помешало бы кому-то пройти проверку подлинности с помощью foo.mydomain.com, а затем изменить имя хоста в заголовке на bar.mydomain.com и отправка тех же значений cookie на новый хост? Поскольку они являются виртуальными хостами на одном сервере, и оба они поддерживаются одним и тем же хранилищем сеансов, будут ли они работать как вектор атаки? – Severun
ОК. Я настраиваю тестовую конфигурацию и ответ на исходный вопрос, да, после аутентификации с указанной конфигурацией вы аутентифицированы для любого хоста на .midomain.com. Вопрос в моем втором комментарии еще не разрешен. Если я изменю домен cookie и домен в своем заголовке для запроса, смогу ли я получить доступ к различным доменам на одном хосте? – Severun