1
我有一個Web應用程序,它使用身份提供程序根據SAML 2.0協議進行身份驗證。SAML 2.0安全令牌
此Web應用程序(服務提供者)是否必須驗證每個Web服務器請求的安全令牌(當用戶登錄Web應用程序時由IdP提供)。
在我看來,沒有必要驗證每個服務器請求的安全令牌。 SAML協議僅在必要情況下需要令牌驗證(認證,授權)。
我是對的還是od我必須爲每個Web服務器請求實現令牌驗證?
A
回答
0
不,服務提供商不需要驗證每個請求的SAML斷言。
SAML斷言包含有關用戶的信息,例如用戶名是誰,身份提供者如何驗證用戶等等。一旦服務提供者從身份提供者獲得這個SAML斷言,它就會驗證SAML斷言,並將用戶登錄到服務提供者。一旦用戶登錄,用戶只需要使用相同的認證會話訪問服務提供商處的受保護資源。用戶不必發送SAML斷言。
相關問題
- 1. 使用WIF從WS-Trust STS請求SAML 2.0安全令牌4.5
- 2. ADFS委託SAML 2.0委託令牌
- 3. 發送被動聯合請求到ADFS 2.0 SAML 2.0令牌
- 4. Salesforce安全令牌
- 5. SAML令牌格式?
- 6. 驗證SAML令牌
- 7. 從SAML令牌讀取SAML屬性
- 8. 的OAuth令牌安全
- 9. 會話令牌安全parse.com
- 10. csrf令牌,安全問題?
- 11. CSRF令牌春季安全
- 12. 通過安全令牌WCF
- 13. 安全令牌處理
- 14. 安全地保存令牌?
- 15. JSON Web令牌(JWT)安全
- 16. 春季安全令牌JWT
- 17. Trello令牌安全問題?
- 18. WIF安全令牌緩存
- 19. ASP.Net - 生成安全令牌
- 20. 用於webservices的SAML令牌
- 21. 如何解密SAML令牌
- 22. Thinktecture.Identity SAML令牌未授權
- 23. SAML令牌的交換JSON
- 24. 自定義saml令牌
- 25. 如何驗證SAML令牌
- 26. ASP.NET中的ADFS 2.0/SAML令牌是否粘滯?
- 27. 通用Java SAML 2.0令牌使用者API
- 28. SAML 1X VS SAML 2.0
- 29. WIF 4.5 BootstrapContext安全令牌null
- 30. 通過ACS獲取OAuth 2.0令牌
另外,SAML Responses是專爲Web SSO設計的「一次性使用」。這意味着您需要確保您的SAML解決方案不允許重播相同的消息以確保您符合規範。 – Ian