方法1
浏览器定向到服务提供商。服务提供商检查是否有任何cookie集,如果否,则将浏览器重定向到身份提供者,身份提供者(IdP)验证用户并将ID重定向到服务提供者(SP)。 SP获取该ID并将其设置为浏览器中的会话cookie并将用户重定向到服务。下次,如果用户在同一会话中再次请求服务,SP会检查cookie并直接重定向到服务。
方法2
浏览器定向到服务提供商。服务提供商重定向到IdP。 IdP检查其cookie,如果cookie不存在,IdP验证用户并在浏览器中设置会话cookie。重定向对SP的积极响应。 SP将用户重定向到服务。下次用户在会话中请求服务时,浏览器将被定向到服务提供商。服务提供商重定向到IdP.IdP检查其cookie,如果它存在,它会向SP发送肯定响应。
答案 0 :(得分:0)
我非常确定Guanxi实施Shibboleth(SAML2配置文件),并且几乎可以肯定Shibboleth itself可以简化为“方法1”。
您最好检查一些现有的SAML2配置文件实现。
答案 1 :(得分:-1)
我不相信其中任何一个都是有效的SAML实现。通常在SAML中,身份信息通过HTTP POST或SOAP Web服务进行通信(请参阅:http://en.wikipedia.org/wiki/Security_Assertion_Markup_Language#SAML_2.0_bindings)。 Cookie不用于“验证”用户。
我们有一个Web应用程序,它使用在HTTP POST中传送的SAML 2.0 XML来验证用户身份。我们的客户员工通过防火墙一侧的身份提供商访问我们的应用程序。