Spring security Saml - SP和IDP之間的時差

Question

我正在尋找一種方法來增加saml消息的到期時間。我使用Spring Security和SAML 1.0.0-RC2。

此時，如果服務器**時間太不相同，例如， 5分鐘，我得到以下錯誤：

HTTP Status 401 - Authentication Failed:Error validating SAML message: SAML response is not valid; nested exception is org.opensaml.common.SAMLException: SAML response is not valid 

我想將過期時間設置爲10分鐘，以防止這些錯誤。我一直在查看文檔，但我不知道如何更改到期時間。如果我看看Configuration authentication object部分，可以更改到期時間，但我無法理解這一想法。

有人能幫我嗎？

**我的客戶的服務器（SP）和服務器（IDP，最有可能與ADFS服務器安裝）。

---

拍攝黑暗：

我samlAuthenticationProvider豆現在看起來像下面的代碼：

<bean class="org.springframework.security.saml.SAMLAuthenticationProvider" id="samlAuthenticationProvider"> 
    <property ref="userDetailsService" name="userDetails"/> 
</bean> 

我能添加到ExpiringUsernameAuthenticationToken班上有一個參考？然後調用構造函數line 53？

Answer 1

在斯特凡之後，我知道在哪裏看！其實文檔確實描述了這件事，我只是沒有選擇它：10.3 Validity intervals。歡呼Stefan指出responseSkew屬性！

只是財產responseSkew添加到WebSSOProfileConsumerImpl和SingleLogoutProfileImpl豆類：

<bean id="webSSOprofileConsumer" class="org.springframework.security.saml.websso.WebSSOProfileConsumerImpl"> 
    <property name="responseSkew" value="600"/> <!-- 10 minutes --> 
</bean> 

<bean id="logoutprofile" class="org.springframework.security.saml.websso.SingleLogoutProfileImpl"> 
    <property name="responseSkew" value="600"/> <!-- 10 minutes --> 
</bean> 

Answer 2

貌似在允許的時間迪菲昂斯是硬編碼。

See this source file看看不變responseSkew。默認值是60秒。

我覺得這裏最好的選擇是嘗試設置，同時在服務器上。

Answer 3

我知道，答案已被選定，但我分享我所發現的任何人使用Grails 3，春季安全工作的決議核心，SAML 2.0。

我必須將maxAssertionTime值與responseSkew一起設置，以便WebSSOProfileConsumerImpl能夠從IDP獲取響應。