一段时间以来,我一直在处理 SAML 和 oauth。我有几个问题,我想知道是否有人澄清了我的疑问 -
- 据我了解,SAML 响应的有效性取决于 SAML 响应中符合 SAML2 规范的 NotOnOrAfter 属性。
- 当 SP 从 IdP 取回响应时,SP 如何跟踪 SAML 请求? - 我认为这取决于 IdP 根据 SAML2 规范在 SAML 响应中的 InResponseTo 属性。
我还需要知道,如何设置 OAUTH token 的到期时间。谷歌搜索后,我发现 OAUTH 响应中有一个属性“expires_in”,它告诉 token 有效多长时间,但我不确定如何使用 Scribe 使用它。我正在使用 scribe 连接到不同的提供商。
最佳答案
- 是的,
NotOnOrAfter属性是Conditions的一部分,它决定响应何时以及如何有效。 - 如果 SP 需要跟踪响应,SP 可以通过
InResponseTo参数来实现。请注意,许多 SAML2 实现允许未经请求(即 Idp 发起的) session ,其中 Idp 发送响应而从未从 SP 收到AuthnRequest。
关于java - 对SAML和OAUTH的质疑,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/25343044/