多个应用程序不同步的 WIF STS

Question

假设我有两个 Web 应用程序和一个 STS 服务： 1. 我可以向用户授予权限的管理门户。 2. 用户可以根据这些权限做事的销售门户。

现在假设我有 STS，它向销售门户提供 8 小时到期的安全令牌。令牌包含包含有关用户权限等信息的声明。

现在想象一个场景，在该场景中，用户的管理门户权限被删除，并且更改已保存到数据库中。由于用户已使用尚未过期的安全令牌登录到销售门户，因此销售门户不会知道权限已被删除。

问题是 - 如何处理这种情况。对我来说，我在这里看到的唯一解决方案是完全删除 STS，但我正在寻找一种更智能的方法来处理这个问题。

有没有更好的方法来解决这个不同步问题？

Answer 1

删除 STS 有点激烈 :-)。您拥有它是有原因的（SSO、联邦等）。您有几个选择：将令牌的到期时间减少到一个合理的值，以适应您的更改波动（8 小时可能过多），或者将敏感的授权信息（例如权限）移动到应用程序，以便每次都检查它.

您可以在应用级别进行“声明丰富”（通过 WIF 中的自定义 AuhtenticationManager）并仍然使用应用代码中的声明模型。

从技术上讲，应用和 STS 之间没有同步。 Token 是发行时用户属性的快照，有效期至到期。