我是否需要针对架构验证STS令牌?

时间:2015-08-17 08:43:23

标签: claims-based-identity

我们正在使用STS令牌来声明基于身份的身份。 我发现以下方法验证来自STS的令牌并生成声明。 的 FederatedAuthentication.ServiceConfiguration.SecurityTokenHandlers.ValidateToken(令牌) 1 。此方法是否根据OASIS提供的架构验证令牌?
2 。如果是这样,它如何知道它必须验证哪个架构?因为有多个模式(如1.1,1.2) 我是否提出错误的问题。我们是否需要针对架构验证令牌?

谢谢你

1 个答案:

答案 0 :(得分:0)

您应该假设,如果Token是XML,TokenHandler将验证XML。无论如何,它必须这样做以避免签名插入攻击。如果您有疑问,因为您已经证明它实际上允许无效的XML通过,那么您应该报告错误。

断言的第一个元素有一个属性,指示协议/ XML-schema的版本