1 260
szerkesztés
Módosítások
a
[[Kategória: Shibboleth általános]]
→Session érvényességének ellenőrzése
== Lazy session az alkalmazás szemszögéből ==
=== Session érvényességének ellenőrzése ===
Az alkalmazás a Shibboleth attribútumok vizsgálatával győződhet meg arról, hogy létezik-e Session. Célszerű olyan attribútumot választani, amely minden session létrehozáskor biztosan létrejön, ilyen például a '''_SERVER''' tömbből kinyerhető '''HTTP_SHIB_IDENTITY_PROVIDERShib-Application-ID''' (Shibboleth 1.3 esetén: '''HTTP_SHIB_APPLICATION_ID''') header. Ha ez létezik, akkor biztosan van session.
=== Session létrehozás ===
Mivel a webszerveren futó alkalmazás és a Shibboleth webszerver modul közvetlenül nem tud kommunikálni, ezért szükséges, hogy a felhasználót valahogyan egy megfelelő URL-re (a [[SessionInitiator]] URL-jére). Ez az URL általában így áll össze:
https://dev.aai.niif.hu/Shibboleth.sso/WAYF/NIIF-WAYF?target=https://dev.aai.niif.hu/drupal/shiblazy.php
=== Request headerek megbízhatósága, lazy session biztonság ===
A Shibboleth modul gondoskodik arról, hogy kiszűrje a '''HTTP_SHIB_''' kezdetű header elemeket, mivel azokat csak ez a modul állíthatja be. Bárki más is állítaná be, az visszaélést jelentene (header spoofing). A header spoofing elleni védelem lazy session esetén is működik, függetlenül attól, hogy létrejött-e a Shibboleth session. Ez azt jelenti, hogy nem lehet létező "sessiont hazudni", mivel a '''HTTP_SHIB_IDENTITY_PROVIDER''' header védett.
Természetesen a spoofing védelem csak akkor működik, ha
[[Kategória: Shibboleth]]
