登录到我的Web应用程序后,用户需要使用X.509证书进行身份验证。与客户端证书的Apache“SSLSessionCacheTimeout”
一段时间不活动后,用户将尝试继续使用该网站。此时,将尝试新的会话,但会失败。它由于重新认证没有发生而失败。
如果我将Apache的SSLSessionCacheTimeout
增加到8小时,那么客户端在创建会话期间不再需要重新进行身份验证?
注 - 假定需要在为Apache SSLSessionCacheTimeout
设置的8小时内创建新会话。
编辑或者,SSL会话是否不会影响HTTPS会话?
SSL会话重新协商不应该对应用程序级会话产生任何影响。关于“用户需要使用X.509认证进行身份验证”的含义,您可以更具体一些吗?“会尝试创建一个新的会话,但会失败,因为没有发生重认证“。 ? – 2013-05-03 13:11:38
用户首次登录到Web应用程序|从智能卡选择证书|自定义的Spring Security代码提取必要的LDAP凭证|最终可以访问网络应用程序。但是,如果用户的会话过期,则无法创建新的会话(可能是因为不重新验证),并且Web应用程序崩溃。我很好奇,通过将Apache字段设置为更高的值,是否可以通过更高的值验证新会话,因为它可能会使用客户端证书。 – 2013-05-03 14:09:33
问题是,浏览器会自动重发X.509证书,以防服务器(未找到客户端发送的sessionID匹配)请求新会话。因此,除了在应用程序级别发生的情况之外,在SSLSessionCacheTimeout之后发生的新TLS会话创建应与第一个TLS会话创建不同。请注意,如果客户端和服务器使用rfc5077“无服务器端状态的会话恢复”,则不适用此选项。 – 2013-05-03 15:04:37