所以我在使用 mod_auth_openidc 的 Apache 服务器上有一个通配符主机我的 Apache 配置的相关位是:
<VirtualHost *:443>
ServerAlias *.sub.mydomain.com
OIDCRedirectURI https://sub.mydomain.com/oauth2callback
OIDCCookieDomain sub.mydomain.com
是否有任何东西可以阻止用户使用 foo.sub.mydomain.com 进行身份验证,然后也可以使用 bar.sub.mydomain.com 进行身份验证而无需再次登录?
不,这是有效的,因为会话 cookie 设置为 onsub.domain.com并且因此接收foo.sub.mydomain.com到bar.sub.mydomain.com.
您在评论中描述的并不是真正的攻击,因为它是同一浏览器中的同一用户。类似于上面提到的内容,除了在浏览器中手动处理......这将是一个问题,你可以以某种方式从另一个用户那里窃取一个 cookie,但又一次,这将是一个不特定于 mod_auth_openidc 的攻击并且是不可能的假设一切都通过 https 运行,浏览器中没有恶意软件。
如果您真的需要分离,您可以拆分到虚拟主机并在每个主机中运行不同的 mod_auth_openidc 配置。然后 Apache cookie 将无法在两台主机之间重复使用。当然,两个主机仍然会重定向到 OP 进行身份验证,并且那里可能存在一个 SSO 会话+cookie,它将两个会话隐式绑定在一起。