Java 对SAML和OAUTH的质疑
现在我正在处理SAML和oauth的问题。我有几个问题,我想知道是否有人澄清了我的疑问-Java 对SAML和OAUTH的质疑,java,security,oauth,saml,scribe,Java,Security,Oauth,Saml,Scribe,现在我正在处理SAML和oauth的问题。我有几个问题,我想知道是否有人澄清了我的疑问- 根据我的理解,根据SAML2规范,SAML响应的有效性取决于SAML响应中的NOTONORFAFTER属性 当SP从IdP返回响应时,SP如何跟踪SAML请求我认为这取决于IdP根据SAML2规范在SAML响应中的InResponseTo属性 我还需要知道,如何设置OAUTH令牌的到期时间。在谷歌搜索之后,我发现OAUTH响应中有一个属性“expires_in”,它告诉我令牌的有效期,但我不确定如何使用Sc
notorafter
属性是决定响应何时以及如何有效的条件的一部分
InResponseTo
参数进行跟踪。请注意,许多SAML2实现允许未经请求(即Idp发起的)会话,其中Idp发送响应而从未从SP收到AuthnRequest
我认为你应该把问题的
OAUTH
部分移到另一个问题上。要得到一个同时覆盖SAML2和OAUTH的答案可能很难。堆栈溢出通常不能很好地处理多个问题。请一次发布一个问题。我仍然有一个疑问:1)在我的情况下,IdP向SP发出浏览器后呼叫(https:///saml_login,现在我的SP生成一个SAMLResponse,该响应xml中包含InResponseTo属性。那么,攻击者是否可能使用同一个SAMLResponse进行多个POST调用?如果是,我如何防止这种情况发生?一致的SP实现必须确保特定的响应消息只使用一次。通常情况下通过保留响应消息的已用ID列表,直到NotOnOrAfter
时间过去。您的意思是SP应在缓存中保留已用ID列表,并且缓存过期时间应与NotOnOrAfter相同吗?