2014-06-22 173 views
1

我有一個Web應用程序,它使用身份提供程序根據SAML 2.0協議進行身份驗證。SAML 2.0安全令牌

此Web應用程序(服務提供者)是否必須驗證每個Web服務器請求的安全令牌(當用戶登錄Web應用程序時由IdP提供)。

在我看來,沒有必要驗證每個服務器請求的安全令牌。 SAML協議僅在必要情況下需要令牌驗證(認證,授權)。

我是對的還是od我必須爲每個Web服務器請求實現令牌驗證?

回答

0

不,服務提供商不需要驗證每個請求的SAML斷言。

SAML斷言包含有關用戶的信息,例如用戶名是誰,身份提供者如何驗證用戶等等。一旦服務提供者從身份提供者獲得這個SAML斷言,它就會驗證SAML斷言,並將用戶登錄到服務提供者。一旦用戶登錄,用戶只需要使用相同的認證會話訪問服務提供商處的受保護資源。用戶不必發送SAML斷言。

+0

另外,SAML Responses是專爲Web SSO設計的「一次性使用」。這意味着您需要確保您的SAML解決方案不允許重播相同的消息以確保您符合規範。 – Ian