我们正在使用STS令牌来声明基于身份的身份。
我发现以下方法验证来自STS的令牌并生成声明。
的 FederatedAuthentication.ServiceConfiguration.SecurityTokenHandlers.ValidateToken(令牌)
1 。此方法是否根据OASIS提供的架构验证令牌?
2 。如果是这样,它如何知道它必须验证哪个架构?因为有多个模式(如1.1,1.2)
或我是否提出错误的问题。我们是否需要针对架构验证令牌?
谢谢你
答案 0 :(得分:0)
您应该假设,如果Token是XML,TokenHandler将验证XML。无论如何,它必须这样做以避免签名插入攻击。如果您有疑问,因为您已经证明它实际上允许无效的XML通过,那么您应该报告错误。
断言的第一个元素有一个属性,指示协议/ XML-schema的版本