0

我在 apache、tomcat 和 IIS 7.5 上使用 cac 智能卡实现了强大的身份验证,但问题是当客户端从读卡器中移除智能卡时,他仍然可以完全访问服务器。那么如何在智能卡被移除后创建身份验证器管理器或会话断开客户端。

会话可以处于以下两种状态之一:已连接或已断开:

已连接:每个具有已连接状态的会话都会显示在客户端上。当用户移除智能卡或明确地将客户端切换到不同的会话时,会话会自动断开。

Disconnected:这些会话仍在服务器上执行,但未连接到客户端,因此不会显示。但是,用户可以重新连接到断开的会话,例如通过将包含适当令牌的智能卡插入客户端的读卡器中。这会将会话的状态更改为已连接,并使其显示在该客户端上。

4

1 回答 1

0

我认为以前曾问过类似的问题,但我找不到链接(可能类似于“单击注销时刷新 ssl 会话”)。这里的关键是 SSL(重新)协商和 SSL 会话缓存。

您有两个选择:要么减少服务器的 SSL 会话缓存(减慢连接速度),从而在移除卡时尽快强制重新协商失败(Apache mod_ssl 中的默认会话缓存超时为 IIRC 300 秒)或实施浏览器插件(除非您有专用的客户端软件),它检测卡移除并因此使客户端的会话无效(或者甚至可能向服务器发送信号以刷新服务器端的会话)。

如果您谈论的是 Web 服务,那么您永远无法使用标准工具“完全控制”......

于 2012-09-13T07:16:00.393 回答