【发布时间】:2012-08-01 09:54:28
【问题描述】:
在调查联合身份验证时,我遇到了与 SAML 一起使用的协议:HTTP-FED。
奇怪的是,我找不到该协议的任何技术文档。
这是什么?是否像我怀疑的那样,是一种基于声明的协议,用于 HTTP 而不是 WS 服务?
【问题讨论】:
【发布时间】:2012-08-01 09:54:28
【问题描述】:
HTTP-Fed 似乎是商业供应商的产物(简化版)。它还没有被任何标准机构(我发现)批准,这就是为什么你可能找不到太多关于它的原因。从我在他们的网站上读到的内容来看,它似乎本质上是互联网上凭证缓存/凭证重放的一个花哨的名称。从他们的网站——http://www.symplified.com/http-federation/
"... HTTP-FED 利用了 SP 现有的 HTTP 登录机制。 这意味着 SP(目标 应用程序)是必需的,并且 SP 不需要特殊软件, 从而减少联合域所需的工作量。”
这不是一个标准,因此除了购买他们的产品之外,没有关于如何实施它的信息。如果您正在查看适用于云应用程序的 Web SSO,我会坚持使用为此类活动设计时考虑到安全性的实际标准(SAML、OpenID、OAuth、Open ID Connect)。
【讨论】: