Gre*_*egT 17 siteminder single-sign-on
我对SiteMinder和SSO一般都是新手.我整个下午都在SO和CA的网站上搜索了一个基本的例子,找不到一个.我不关心设置或编程SM或类似的东西.所有这一切都已由其他人完成.我只想调整我的JS Web应用程序以使用SM进行身份验证.
我知道SM会添加一个带有SM_USER等密钥的HTTP头,它会告诉我用户是谁.我没有得到的是 - 是什么阻止任何人自己添加这个标题并完全绕过SM?我需要在服务器端代码中放置什么来验证SM_USER是否真的来自SM?我认为涉及安全的cookie ...
Ian*_*Ian 17
在SM Web代理安装在Web服务器上的目的是拦截所有流量,并检查是否资源请求是...
受SiteMinder保护
如果用户具有有效的SMSESSION(即经过身份验证)
如果1和2为真,则WA检查Siteminder策略服务器以查看用户是否被授权访问所请求的资源.
为确保您没有HTTP标头注入用户信息,SiteMinder WebAgent将重写所有特定于SiteMinder的HTTP标头信息.从本质上讲,这意味着您可以"信任" SM_WebAgent提供的有关用户的信息,因为它是由服务器上的Web代理创建的,而不是传入请求的一部分.
| 归档时间: |
|
| 查看次数: |
26534 次 |
| 最近记录: |