我遇到的情況是,我的應用程式(SP)需要使用 IdP(SP 啟動的 SSO)通過 SAML 對用戶進行認證。
一旦我的用戶在第一次訪問應用程式時獲得了認證,那么 SP 應在何時 "重新觸發 "認證(authnrequest)?我是否應該在后端每次 REST 呼叫時重新確認 SAML 令牌以了解它是否仍然有效?
uj5u.com熱心網友回復:
一旦我的用戶在第一次訪問應用程式時被認證,SP應該何時 "重新觸發 "認證(authnrequest)?
通常情況下,只有當應用程式的會話確實超時時,才需要更新認證請求。當您第一次收到來自IDP的SAML回應時,您的應用程式為用戶建立了一個會話,并在該期間保持有效。當這個時間段過了,會話消失了,你應該考慮觸發另一個認證請求給IDP。根據 IDP 會話設定的持續時間,用戶可能會或可能不會再次被提示提供憑據。
如果您想強迫 IDP 要求用戶提供憑據,而不考慮 IDP 自己的會話,您可以在認證請求中發送 forced-authn。IDP可能支持也可能不支持這種型別的請求。
我是否應該在后端每次 REST 呼叫時重新斷定 SAML 令牌,以了解它是否仍然有效?
您的問題總體上并不明確。什么 REST 呼叫?什么后端?
一般來說,您應該每次都驗證 SAML 斷言;這里的每次是指 IDP 每次向您(即應用程式)發送斷言時。一旦你的應用程式在驗證了該斷言后擁有了一個會話,那么你的行為和你的呼叫就取決于你。該斷言已經完成并消失了。
PS SAML沒有令牌。它有回應、斷言和宣告等。沒有令牌。這是有區別的。使用正確的術語可以幫助人們更好、更準確地做出反應。
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/329591.html
標籤: