我已经阅读了一些关于联合安全和 WCF 的资料,并且对安全 token 服务 (STS) 颁发的 token 的生命周期有疑问。
特定 session 的安全 token 是通过服务器发起的,还是可以在多个 session 中重复使用?
我的目标是能够通过关闭所有打开的 session 并强制重新验证来使 STS 颁发的所有安全 token 失效。我担心恶意用户可能会重复使用已颁发的 token 。
任何输入将不胜感激。
最佳答案
从 STS 返回的 SecurityToken 在 1 小时(默认)后过期。您可以使用以下代码在多个 session 中重复使用它。
var channel = channelFactory.CreateChannelWithIssuedToken(token);
但是您当然必须将 token 缓存在某处才能发生这种情况。如果您使用标准的 CreateChannel() 方法,我相信每次都会从 STS 请求 token 。
关于c# - wcf 联合安全 token 是 session token 还是可重用的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4962041/