我的一个客户遇到了一个奇怪的问题,用户在登录几秒钟后(发出 10-15 个请求后)就会注销。我们正在使用以下
我在浏览器中比较了成功的请求和未经授权的请求,它们看起来完全相似。它们都具有所有必需的 cookie - 身份验证 Cookie、会话 Cookie。
我猜测问题出在负载均衡器或 Web 服务器端的某个地方。 Web 服务器上的跟踪仅显示请求之间的一个差异。
成功的请求具有会话 ID,而返回未经授权的请求则缺少会话 ID。
我有2个问题
请注意,如果我切换到表单/LDAP 身份验证而不是 SAML,它似乎工作正常。所以问题似乎与 SustainSys SAML 有关。
出现此问题的原因是 SAML 响应中的 SessionNotOnOrAfter 设置为 2 分钟。这导致会话结束并且用户被注销。