消息队列 (Kafka) CAS/IAM中心 (认证授权) B系统 (摩天轮) A系统 (过山车) 消息队列 (Kafka) CAS/IAM中心 (认证授权) B系统 (摩天轮) A系统 (过山车) 🎡 场景一:进系统 (首次登录获取 A 系统凭证) 🚪 场景二:退出系统 (基于MQ的单点登出) 👑 场景三:修改VIP权限 (基于MQ的实时感知) 🚨 场景四:越权访问 (尝试用 A 的票去 B 系统) 假设攻击者在 ST-1 被A验证前 劫持了它,或者伪造请求 浏览器 (张三/攻击者) 管理员 访问A系统 1 未登录,带上 service=A 跳转CAS 2 提交账号密码 3 校验通过,生成 TGT 4 【核心】生成 ST-1 并与 service=A 强绑定 5 种下TGC,携 ST-1 重定向回A系统 6 携带 ST-1 访问A系统 7 A后端携带 (ticket=ST-1, service=A) 去验证 8 验证通过 (服务匹配),ST-1 作废,返回用户信息 9 生成A系统本地Token 10 登录A系统成功 11 点击全局退出按钮 12 销毁中央 TGT 13 异步发布【张三登出事件】 14 A系统消费消息,清理本地Token 15 取消张三 VIP 权限 16 异步发布【权限变更事件】 17 A系统消费消息,刷新Redis权限缓存 18 访问A系统VIP接口 ->> 403 被拒 19 恶意携带属于A的 ST-1 访问B系统 20 B后端携带 (ticket=ST-1, service=B) 去验证 21 查库发现 ST-1 绑定的是 service=A 22 比对失败 (A != B) ! 发现越权或伪造! 23 验证失败:Ticket不属于该Service (INVALID_SERVICE) 24 拒绝访问,强制跳转到CAS重新登录 25 浏览器 (张三/攻击者) 管理员
相关推荐
風清掦2 分钟前
【STM32学习笔记-12】Unix 时间戳、BKP 备份寄存器与 RTC 实时时钟万事大吉CC11 分钟前
【3】深入剖析 Django 之 MTV:路径引用与资源加载机制Hical_W17 分钟前
用 Hical + MySQL 5 分钟搭建 CRUD API(C++20 协程版)AIMath~20 分钟前
agent上下文和模型的上下文区别python零基础入门小白21 分钟前
Transformer、Token、RAG全解析,一篇读懂大模型核心机制!与遨游于天地30 分钟前
分布式锁从Redis到Redisson的演进我是发哥哈1 小时前
东莞AI培训主流方案横向评测:5大选型维度解析千寻girling1 小时前
机器学习 | 感知机 | 尚硅谷学习可爱の小公举1 小时前
Java 后端程序员转 AI Agent 工程师:一条可执行学习路线