一个单点登录问题,请banq和J道友指教。
场景:
有www.a.com(A), www.b.com(B)和www.c.com(C)三台主机。 A主机部署了appA应用,B主机部署appB应用,C主机部署了单点登录认证服务器应用。
appA和appB通过主机C做基于Cookie的单点登录应用。
问题描述:
假如以下条件已成立: 主机A和主B都已成功向认证主机C获得了认证票据,并通过认证票据从认证服务器C获得了会员信息,同时在本地(appA和appB)内存维护了一份票据和关联的会员登录信息,目的是避免每次都向认证服务器请求会员信息。
本人想用认证服务器C的session来维护会员登录状态的活存周期,也就是当证服务器C的session过期销毁事件里加上向各客户端(appA,appB)发出注销通知消息。这样一来,我想到会存在一个问题:假如会员只是在认证时请求了1次服务器C,之后只访问appA或aapB, 那岂不是造成会员一直在使用系统(因为一直在访问aapA\aapB), 但服务器C的session却因一直没检测到有会员的请求而过期,从而引起登录状态的注销?
不知我描述是否清楚,其实我是想寻找一种管理认证票证(或是说登录状态)存活周期的方案。请大家指教。