我有一个Web应用程序,它使用身份提供程序进行身份验证,符合SAML 2.0协议。
此Web应用程序(服务提供商)是否必须验证每个Web服务器请求的安全令牌(当用户登录Web应用程序时由IdP提供)。
在我看来,没有必要为每个服务器请求验证安全令牌。 SAML协议仅在必要情况下需要令牌验证(身份验证,授权)。
我是对的还是我必须为每个Web服务器请求实现令牌验证?
答案 0 :(得分:0)
不,服务提供商不需要为每个请求验证SAML断言。
SAML断言包含有关用户的信息,例如用户名是谁,用户如何通过身份提供商进行身份验证等等。一旦服务提供商从身份提供者获得此SAML断言,它就会验证SAML断言,并将用户登录到服务提供者。用户登录后,用户只需使用相同的经过身份验证的会话即可访问服务提供商处的受保护资源。用户不必发送SAML断言。