Auswirkungen der SSO auf Sitzungszeit aus
https://stackoverflow.com/questions/806169
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich brauche SSO zwischen einer Windows-Domäne und einer J2EE-Web-appliction zu implementieren.
Ich habe nachgedacht, was die Auswirkungen dieser auf der Web-Anwendung Session-Timeout sein würden. Wir haben eine 2-Stunden-Zeit aus.
Wenn wir ein seemless SSO implementieren, dann denke ich, es könnte für den Benutzer verwirrend.
Die SSO wird es erscheinen, dass die Web-Anwendung sofort verfügbar ist.
Ich mache mir Sorgen, dass sie in dem Ausfüllen von Formularen beginnen dann zum Mittagessen gehen (oder etwas) und kommen zurück nach ihrer Sitzung abgelaufen ist. Es ist jedoch möglicherweise nicht sofort offensichtlich, dass dies geschehen ist, da das SSO wird sie melden Sie sich einfach wieder ein (aber jetzt mit einer neuen Sitzung).
Hat jemand Erfahrung mit so etwas und wie man damit umgehen? Brauchen wir nur eine Form von zusätzlichen Messaging zu implementieren, um den Benutzern zu sagen, dass ihre vorherige Sitzung ist abgelaufen und ihre Arbeit verloren hat?
Lösung
Ich glaube, Sie auf jeden Fall Pop-up benötigen eine Warnung von einer Art, wenn die Sitzung des Benutzers zurückgesetzt wird. Lassen Sie sie auf OK auf die Nachricht klicken und sie auf die Startseite umgeleitet werden.
Außerdem glaube ich, eine 2-stündige Timeout wie eine schlechte Idee klingt, wenn Sie es tun, wie ich glaube, Sie sind. Meinen Sie damit der Benutzer hat 2 Stunden von wann anmelden, bevor ihre Sitzung abläuft zu arbeiten? Wäre es nicht sinnvoll, so etwas wie 10 Minuten Timeout zu haben, aber mit dem Timer immer zurückgesetzt, wenn der Benutzer in dieser Sitzung eine neue Anforderung sendet.
Andere Tipps
Das Timeout ist keine statische feste Zeit von Login gemessen, sondern ein dynamisches Maß für Untätigkeit.
An Standorten hav wir mit dieser Funktionalität nach 10 Minuten buit oder so die Web-Seite geht zurück auf die Login-Seite (JS verwendet) und der Benutzer kann wieder gestartet werden, wenn sie wollen.
Wenn sie sind damit beschäftigt, mit einem langen Prozess, in dem sie Ergebnisse überprüfen oder etwas überprüfen Sie die Maus bewegen oder eine Taste sublte wie das anzeigt, dass sie immer noch damit beschäftigt sind.
Alte Frage, aber falls jemand läuft über sie:
wirklich hart Versuche keinen Staat in der Server-Sitzung zu speichern. Client, fein; Back-End-Server Persistenz (wie eine Datenbank), in Ordnung. Nur nichts dazwischen das würde verloren gehen. Wenn der Benutzer nahtlos neu authentifiziert, sie bemerken, die nicht den Schalter. Dauer des Timeout wird irrelevant.
Diese Antwort ist eigentlich mehr machbar jetzt, sechs Jahre später, da es mehrere Front-End-Frameworks, die Ihre Daten für Sie gespeichert werden. Sie können immer noch Spring Security (sagen wir) auf dem Server verwenden, da die Authentifizierung ist immer noch da mit die neue Sitzung; es sollte Ihre Sicherheit info (Security, Userdetails, etc.) on the fly regenerieren. Was auch immer Anforderung erhält oder sendet Daten sollten dann „einfach funktionieren.“
