我有一个成功针对CAS服务器进行身份验证的 PHP 应用程序。该应用程序支持的功能之一是模拟;具有适当权限的用户可以模拟另一个应用程序。通常,这不是问题,因为应用程序本身可以跟踪用户在模拟谁并管理权限(基于用户名)。
然而,一个新的要求出现了,它要求原始应用程序通过 iframe 包含来自第二个也支持 CAS 的 PHP 应用程序的内容。不知何故,我需要第二个应用程序知道第一个应用程序是否发生了模拟。出于安全原因,我不想传递用户名,所以我想知道是否可以将处理模拟的责任转移到两个应用程序共享的 CAS 服务器上。
谢谢。
我意识到这是一个非常古老的问题,但是,从 v5.1 开始的 CAS 确实支持模拟。它被称为代理身份验证:
https://apereo.github.io/cas/5.1.x/installation/Surrogate-Authentication.html
我们越是考虑这一点并试图解决一些问题,似乎越来越有可能这在 CAS 中不可用,也许不应该。如果我们接受 CAS 的唯一目的是识别用户并确保用户就是他们所说的那个人,那么成为其他人就没有多大意义。
这只是我对潜在理由的推测,但我很自在地说 CAS 不提供模拟功能。