这是关于SAML协议及其如何指定SAML令牌验证的基本问题。
查看不同的图表和资源,看起来服务提供商不需要调用身份提供程序(IdP)来验证SAML令牌。
我有兴趣从wiki SAMPL_wiki澄清第5步(在SP请求断言消费者服务)。
主要是令牌验证在服务提供商处完成,无需额外调用IdP。
令牌验证包括3个步骤:
1.验证令牌格式正确
2.验证令牌来自预期的权限
3.验证令牌适用于当前的应用程序
这个假设是对的吗?
答案 0 :(得分:1)
从很高的层面来看,是的,你的三个步骤是正确的。
更具体:
1将包括解码base64编码的响应,检查 架构等。
2将通过签名验证完成,检查权限, 看看它是否是对已发送的AuthnRequest的响应并匹配它, 等
3来自检查继电器状态并确保它是一个 由服务提供商“保护”的位置