여러 응용 프로그램이 동기화되지 않는 WIF STS

Question

두 웹 응용 프로그램과 단일 STS 서비스가 있다고 가정합니다. 1. 사용자에게 권한을 부여 할 수있는 관리 포털. 2. 사용자가 해당 권한을 기반으로 작업을 수행 할 수있는 영업 포털.

이제 영업 포털에 8 시간 만료 된 보안 토큰을 제공하는 STS가 있다고 가정합니다. 토큰은 사용자를위한 권한 정보를 포함하는 클레임을 포함합니다.

이제 사용자에 대해 관리 포털 권한이 제거되고 변경 사항이 데이터베이스에 저장된 시나리오를 생각해보십시오. 사용자가 이미 만료되지 않은 보안 토큰을 사용하여 Sales 포털에 이미 로그인 했으므로 Sales 포털에서는 권한이 제거되었음을 인식하지 못합니다.

질문은 -이 시나리오를 처리하는 방법입니다. 나에게 여기서 볼 수있는 유일한 해결책은 STS를 완전히 제거하는 것이지만이를 처리하는 더 똑똑한 방법을 찾고있다.

이 동기화되지 않은 문제에 대한 더 나은 방법이 있습니까?

Answer 1

STS를 제거하는 것은 약간 과감합니다 .-). 이유가 있습니다 (SSO, 연합 등). 몇 가지 옵션이 있습니다. 토큰의 만료 시간을 변경 사항의 변동성에 대한 합리적인 값으로 줄이거 나 (8 시간이 지나치게 길 수도 있음) 민감한 권한 부여 정보 (예 : 권한)를 앱으로 이동하여 매번 검사하도록합니다 .

앱 수준에서 (WIF의 맞춤 AuhtenticationManager을 통해) '소유권 주장 확대'를 할 수 있으며 앱 코드에서 소유권 주장 모델을 계속 사용할 수 있습니다.

기술적으로 앱과 STS는 동기화되지 않습니다. 토큰은 발급 당시의 사용자 속성의 스냅 샷이며 만료 될 때까지 유효합니다.