А есть у нас кто-нибудь использующий CAS?
http://www.jasig.org/cas/protocol#introduction

Чего-то я не понимаю как его использовать правильно. Вот есть у меня несколько страничек которые надо защитить. Для простоты возьмем две: StartPage.pl и ProcessPage.pl
1. StartPage.pl - видит при старте отсутствие параметра ticket и переадресует юзера на логин: Location: cas.server/login?service=my.server/StartPage.pl
2. CAS/login проверяет имя/пароль юзера и переадресует юзера обратно: GET my.server/StartPage.pl?ticket=asdfghj
3. StartPage.pl - видит при старте параметр ticket и запрашивает (через LWP::UserAgent) проверку тикета: GET cas.server/serviceValidate?service=my.server/StartPage.pl&ticket=asdfghj
4. StartPage.pl получает обратно xml с именем юзера и показывает какую-то секретную информацию.

До этих пор, все хорошо и понятно. Не понятно дальше.
- StartPage.pl имеет форму которую юзер заполняет и по submit эта форма должна уйти (POST) в ProcessPage.pl. Но как я могу быть уверенным что отправил форму тот-же юзер что и прошел через логин процесс в StartPage.pl?
Что может помешать хакеру отправить запрос напрямую в ProcessPage.pl? Тикет полученный от CAS'а одноразовый и проверять его на каждой странице я не могу, отправлять юзера на логин на каждой странице тоже как-то неправильно.

В общем: как?