JBoss SSO Cache

Question

Мы успешно настроили SSO в кластере JBoss EAP 6.3 с двумя узлами.

Дело в том, что я не понимаю связи между реплицированным кешем с именем «sso», который мы должны были создать, и тип кеша (установленный по умолчанию) в нашем домене безопасности (домен соединяется с ldap).

Домен безопасности использует этот реплицированный кеш? какой кеш использует? Поскольку мы хотим настроить тайм-аут для кеша, поэтому, если что-то изменится на ldap, кеш обновится.

Общим примером такого сценария является то, что пользователь получает новые разрешения, затем он хочет получить доступ к новым функциям сразу или за короткий промежуток времени. На самом деле мы должны перезапустить весь JBoss, и это не очень хорошо.

Thanks, С уважением.

Answer 1

<security-domain flushOnSessionInvalidation="true" >OUR_DOMAIN</security-domain> 

С этой линией на JBoss-web.xml, мы получаем поведение, которое мы искали.

Answer 2

В режиме кластера кеш SSO используется для аутентификации пользователя на одном узле (аутентификация происходит в домене безопасности), а аутентификация автоматически переносится на другие узлы кластера.

Кэш домена безопасности предназначен для ускорения проверки подлинности, это может использоваться совместно с узлами с реплицированным кешем. Но наличие учетных данных в кеше не гарантирует, что это аутентифицировано в приложении.

Например, если вы устанавливаете true для атрибута reauthenticate из sso, этот атрибут является флагом, определяющим необходимость повторной проверки каждого запроса на securityRealm. Установка в true позволяет веб-приложениям с различными конфигурациями домена безопасности совместно использовать SSO.

Я надеюсь, что эта помощь.