Поддерживает ли CAS олицетворение на уровне приложения?

Question

У меня есть приложение PHP, которое успешно проходит аутентификацию на сервере CAS . Одной из функций, поддерживаемых приложением, является олицетворение; Пользователь с соответствующими привилегиями может выдавать себя за другое приложение. Как правило, это не является проблемой, поскольку само приложение может отслеживать, кто является пользователем, и управлять привилегиями (которые основаны на имени пользователя).

Однако появилось новое требование, которое требует, чтобы исходное приложение включало через iframe контент из второго приложения PHP, также поддерживающего CAS. Почему-то мне нужно, чтобы второе приложение узнало, происходит ли олицетворение в первом. Я не хочу передавать имена пользователей по соображениям безопасности, поэтому мне интересно, могу ли я переложить ответственность за обработку олицетворения на сервер CAS, который используется обоими приложениями.

Спасибо.

Answer 1

Я понимаю, что это очень старый вопрос, однако CAS начиная с версии 5.1 поддерживает олицетворение. Это называется суррогатной аутентификацией:

https://apereo.github.io/cas/5.1.x/installation/Surrogate-Authentication.html

Answer 2

Чем больше мы обдумали это и попытались что-то решить, тем более вероятно, что это просто недоступно в CAS и, возможно, не должно быть. Если мы признаем, что единственной целью CAS является идентификация пользователя и обеспечение того, чтобы пользователь был тем, кем они себя называют, то не имеет смысла быть кем-то другим.

Это я просто размышляю о базовом обосновании, но мне довольно приятно говорить, что CAS не предлагает функции олицетворения.