SAML 2.0 安全令牌

【问题标题】:SAML 2.0 security tokenSAML 2.0 安全令牌
【发布时间】:2014-06-22 18:16:13
【问题描述】:

我有一个 Web 应用程序,它使用身份提供程序根据 SAML 2.0 协议进行身份验证。

此 Web 应用程序(服务提供商)是否必须为每个 Web 服务器请求验证安全令牌(由 IdP 在用户登录 Web 应用程序时提供)。

在我看来,没有必要为每个服务器请求验证安全令牌。 SAML 协议仅在必要的情况下(身份验证、授权)才需要令牌验证。

我是对还是我必须为每个 Web 服务器请求实施令牌验证?

【问题讨论】:

    标签: authorization saml


    【解决方案1】:

    不,服务提供商不需要为每个请求验证 SAML 断言。

    SAML 断言包含有关用户的信息,例如用户名是谁、身份提供者如何对用户进行身份验证等。一旦服务提供者从身份提供者那里获得了这个 SAML 断言,它就会验证 SAML 断言,并将用户登录到服务提供者。一旦用户登录,用户只需要使用相同的经过身份验证的会话来访问服务提供商处的受保护资源。用户不必发送 SAML 断言。

    【讨论】:

    • 此外,SAML 响应在设计上是针对 Web SSO 的“一次性使用”。这意味着您需要确保您的 SAML 解决方案不允许重播同一消息,以确保您符合规范。
    猜你喜欢
    • 1970-01-01
    • 2020-05-19
    • 2013-01-06
    • 1970-01-01
    • 2018-11-12
    • 2015-08-17
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode