怀疑SAML和OAUTH

时间:2014-08-16 19:10:27

标签: java security oauth saml scribe

有一段时间我正在处理SAML和oauth。我有几个问题,我想知道是否有人澄清我的疑虑 -

  1. 根据我的理解,SAML响应的有效性取决于SAML响应中的NotOnOrAfter属性,符合SAML2规范。
  2. 当SP从IdP返回响应时,SP如何跟踪SAML请求? - 我认为这取决于IdP根据SAML2规范在SAML响应中的InResponseTo属性。

    3. 我还需要知道,如何设置OAUTH令牌的到期时间。在谷歌搜索之后,我发现OAUTH响应中有一个属性“expires_in”,它告诉令牌有效期多长,但我不知道如何使用Scribe来使用它。我正在使用scribe连接到不同的提供商。

1 个答案:

答案 0 :(得分:1)

  1. 是的,NotOnOrAfter属性是Conditions的一部分,用于决定响应何时以及如何生效。
  2. 如果SP需要跟踪响应,SP可以通过InResponseTo参数执行此操作。请注意,许多SAML2实施允许未经请求的(即Idp发起的)会话,其中Idp在没有从SP收到AuthnRequest的情况下发送响应。
相关问题
最新问题