关于被动联合,我想知道从STS到依赖方的安全令牌的传输是如何工作的。 几乎每篇关于Windows Identity Foundation和被动联合的文章都说浏览器重定向(它是30x http代码的方式吗?)和cookie是唯一使用的“工具”。 但是:当STS将令牌存储在cookie中并在此之后将浏览器重定向到依赖方时,依赖方如何才能读取此cookie?是不是像饼干一样的原产地政策(比如javascript有)? cookie(STS)的发行者是依赖方的另一个地址/来源/域,是依赖方是否仍然允许访问这个“外国”cookie或者它背后的某些魔法是否可能?
谢谢
答案 0 :(得分:3)
STS不发送cookie,这是不可能的。
相反,STS会向您的浏览器返回一个页面,其中包含:
a)页面主体中的SAML令牌(XML)
b)action=Relying Party url + javascript以自动提交表单
浏览器愉快地将此表单提交给依赖方。然后,它负责创建用于验证来自客户端的连续请求的身份验证cookie。
没有“魔法”,只是在请求正文中明确传递的SAML令牌。令牌由STS证书签名,因此RP可以验证其真实性。