Spring security Saml - SP和IDP之间的时差

Question

我正在寻找一种方法来增加saml消息的到期时间。我使用Spring Security和SAML 1.0.0-RC2。

此时，如果服务器**时间太不相同，例如， 5分钟，我得到以下错误：

HTTP Status 401 - Authentication Failed:Error validating SAML message: SAML response is not valid; nested exception is org.opensaml.common.SAMLException: SAML response is not valid 

我想将过期时间设置为10分钟，以防止这些错误。我一直在查看文档，但我不知道如何更改到期时间。如果我看看Configuration authentication object部分，可以更改到期时间，但我无法理解这一想法。

有人能帮我吗？

**我的客户的服务器（SP）和服务器（IDP，最有可能与ADFS服务器安装）。

---

拍摄黑暗：

我samlAuthenticationProvider豆现在看起来像下面的代码：

<bean class="org.springframework.security.saml.SAMLAuthenticationProvider" id="samlAuthenticationProvider"> 
    <property ref="userDetailsService" name="userDetails"/> 
</bean> 

我能添加到ExpiringUsernameAuthenticationToken班上有一个参考？然后调用构造函数line 53？

Answer 1

在斯特凡之后，我知道在哪里看！其实文档确实描述了这件事，我只是没有选择它：10.3 Validity intervals。欢呼Stefan指出responseSkew属性！

只是财产responseSkew添加到WebSSOProfileConsumerImpl和SingleLogoutProfileImpl豆类：

<bean id="webSSOprofileConsumer" class="org.springframework.security.saml.websso.WebSSOProfileConsumerImpl"> 
    <property name="responseSkew" value="600"/> <!-- 10 minutes --> 
</bean> 

<bean id="logoutprofile" class="org.springframework.security.saml.websso.SingleLogoutProfileImpl"> 
    <property name="responseSkew" value="600"/> <!-- 10 minutes --> 
</bean> 

Answer 2

貌似在允许的时间迪菲昂斯是硬编码。

See this source file看看不变responseSkew。默认值是60秒。

我觉得这里最好的选择是尝试设置，同时在服务器上。

Answer 3

我知道，答案已被选定，但我分享我所发现的任何人使用Grails 3，春季安全工作的决议核心，SAML 2.0。

我必须将maxAssertionTime值与responseSkew一起设置，以便WebSSOProfileConsumerImpl能够从IDP获取响应。