Best practice per la scadenza di token in un Security Token Service (STS)

Naviga le tue risposte
4

Quando si crea un Security Token Service (STS) per un modello di sicurezza basato sulle attestazioni, sembra appropriato che i token siano generati in modo tale che scadano dopo una certa durata, come suggerito objectsharp.com/cs/blogs/steve/archive/2010/10/18/what-makes-claims-based-authentication-secure.aspx">here. Intorno a questo concetto, ho alcune domande specifiche, ma sto cercando un riscontro sulle migliori pratiche in questo settore.

  • Quali sono i valori consigliati per la durata del timeout e / o cosa dovrebbe essere preso in considerazione quando si determina questo?
  • Se un utente è attivo più a lungo del periodo di scadenza tipico, come dovrebbe essere gestito in modo tale che l'utente non sia tenuto a ripetere l'autenticazione nel bel mezzo della sua sessione?
  • Esiste un modo elegante per progettare un servizio per eseguire azioni batch "per conto di" un altro utente utilizzando il token? Ad esempio, l'utilizzo del token in un secondo momento potrebbe aver causato la sua scadenza.
posta Joe 10.06.2011 - 16:34
fonte

1 risposta

0

  1. Normalmente vedo 2-9 ore. 9 ti dà la giornata lavorativa.

  2. Se il token è scaduto, è necessario riautentarlo. Fine della storia.

  3. Dipende da come funziona il sistema. Hai bisogno dell'intero contesto o puoi fingere? Se il sistema può solo dire "Sono sistema, ma per conto di Jimmy" all'interno della tua app, allora è facile. Se hai effettivamente bisogno del token di Jimmy per eseguire l'operazione, allora sei bloccato.

risposta data 01.10.2011 - 08:57
fonte

Leggi altre domande sui tag

SSO tra più applicazioni Flex [chiuso] Come utilizzare le tabelle decisionali per stabilire la priorità tra gli oggetti - o dovrei fare qualcosa di diverso? [chiuso]