1
我有一个Web应用程序,它使用身份提供程序根据SAML 2.0协议进行身份验证。SAML 2.0安全令牌
此Web应用程序(服务提供者)是否必须验证每个Web服务器请求的安全令牌(当用户登录Web应用程序时由IdP提供)。
在我看来,没有必要验证每个服务器请求的安全令牌。 SAML协议仅在必要情况下需要令牌验证(认证,授权)。
我是对的还是od我必须为每个Web服务器请求实现令牌验证?
A
回答
0
不,服务提供商不需要验证每个请求的SAML断言。
SAML断言包含有关用户的信息,例如用户名是谁,身份提供者如何验证用户等等。一旦服务提供者从身份提供者获得这个SAML断言,它就会验证SAML断言,并将用户登录到服务提供者。一旦用户登录,用户只需要使用相同的认证会话访问服务提供商处的受保护资源。用户不必发送SAML断言。
相关问题
- 1. 使用WIF从WS-Trust STS请求SAML 2.0安全令牌4.5
- 2. ADFS委托SAML 2.0委托令牌
- 3. 发送被动联合请求到ADFS 2.0 SAML 2.0令牌
- 4. Salesforce安全令牌
- 5. SAML令牌格式?
- 6. 验证SAML令牌
- 7. 从SAML令牌读取SAML属性
- 8. 的OAuth令牌安全
- 9. 会话令牌安全parse.com
- 10. csrf令牌,安全问题?
- 11. CSRF令牌春季安全
- 12. 通过安全令牌WCF
- 13. 安全令牌处理
- 14. 安全地保存令牌?
- 15. JSON Web令牌(JWT)安全
- 16. 春季安全令牌JWT
- 17. Trello令牌安全问题?
- 18. WIF安全令牌缓存
- 19. ASP.Net - 生成安全令牌
- 20. 用于webservices的SAML令牌
- 21. 如何解密SAML令牌
- 22. Thinktecture.Identity SAML令牌未授权
- 23. SAML令牌的交换JSON
- 24. 自定义saml令牌
- 25. 如何验证SAML令牌
- 26. ASP.NET中的ADFS 2.0/SAML令牌是否粘滞?
- 27. 通用Java SAML 2.0令牌使用者API
- 28. SAML 1X VS SAML 2.0
- 29. WIF 4.5 BootstrapContext安全令牌null
- 30. 通过ACS获取OAuth 2.0令牌
另外,SAML Responses是专为Web SSO设计的“一次性使用”。这意味着您需要确保您的SAML解决方案不允许重播相同的消息以确保您符合规范。 – Ian