我提议使用 SAML 1.1 作为在客户环境中证明 Web SSO 的技术,他们问了我一些有趣的事情:
哪种场景浏览器/POST 配置文件是合适的,以及 SAML 的浏览器/工件配置文件的哪些场景合适?
事实上,SAML 1.1 Specifications不要谈论两个浏览器配置文件的最佳或最合适的方案。
也许每一种安全威胁都可以用来挑选最好的。在我看来,到目前为止,两者都可以平等地应用于任何场景。
*注意:该解决方案使用 Weblogic Server 10.0 及其对 SAML 1.1 的支持。
最佳答案
在我看来,这两种配置文件都提供了相似的安全级别。使用 POST 配置文件,用户必须明确启动 POST。这可能有助于阻止类似于 CSRF 攻击的东西,但我不知道任何实际的漏洞利用。通过使用 GET 方法,Artifact 配置文件可以为用户提供更加无缝的体验。
对我来说,Artifact 配置文件的缺点是打开后 channel 的复杂性。我的应用程序服务器专用于处理用户请求,如果该线程被阻塞(等待反向 channel IO 完成)很长时间,应用程序服务器就会开始表现得很差。因此,必须非常小心地执行反向信道通信,以确保它在定义的时间段后超时。
即便如此,如果 IdP 出现故障,我的用户也不会那么明显地认为故障出在 IdP 上。使用 POST 配置文件,如果 IdP 行为不当,用户就不太可能责怪我。
关于security - 浏览器/POST 和浏览器/工件 SAML 配置文件的便捷应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/859652/