CAS服务器TGT cookie应该如何保护?

How CAS server TGT cookie should be protected?

我们项目最近要实现单点登录,了解了一些单点登录的方法和产品,CAS正是我想用的,但是会员的一些问题我不能回答,希望官方能帮帮忙:

由于CAS服务器TGT cookie保存在浏览器中,一旦被盗或被复制到其他机器上,只要TGT未过期,其他人也可以登录WebApp。

那么,有什么方法可以防止这种情况发生?或者我应该如何考虑这个场景?

另外,cookie共享sso(例如webapp A和B通过nginx结合)和CAS的本质区别是什么,因为它们都是基于cookie的?

cookie 已加密并签名。如果它被盗,它总是会根据服务器知道的内容进行交叉检查。