我对SiteMinder和SSO完全陌生。我整个下午都在SO和CA的网站上闲逛一番,以查找一个基本示例,但找不到一个。我不在乎设置或编程SM或类似的东西。所有这些已经由其他人完成。我只想修改我的JS网络应用程序以使用SM进行身份验证。
我知道SM将添加带有诸如SM_USER之类的密钥的HTTP标头,该密钥将告诉我用户是谁。我不明白的是-是什么阻止任何人自己添加此标头并完全绕过SM?我必须在服务器端代码中添加什么以验证SM_USER确实来自SM?我想涉及安全cookie ...
最佳答案
安装在Web服务器上的SM Web代理旨在拦截所有流量并检查资源请求是否为...
受SiteMinder保护
如果用户具有有效的SMSESSION(即已通过身份验证)
如果1和2为true,则WA将检查Siteminder Policy Server,以查看该用户是否被授权访问所请求的资源。
为确保您没有用户信息的HTTP标头注入,SiteMinder WebAgent将重写所有特定于SiteMinder的HTTP标头信息。本质上,这意味着您可以“信任” WebAgent呈现的有关用户的SM_
信息,因为它是由Web代理在服务器上创建的,而不是传入请求的一部分。