Java 对SAML和OAUTH的质疑

现在我正在处理SAML和oauth的问题。我有几个问题，我想知道是否有人澄清了我的疑问-

根据我的理解，根据SAML2规范，SAML响应的有效性取决于SAML响应中的NOTONORFAFTER属性

当SP从IdP返回响应时，SP如何跟踪SAML请求我认为这取决于IdP根据SAML2规范在SAML响应中的InResponseTo属性

我还需要知道，如何设置OAUTH令牌的到期时间。在谷歌搜索之后，我发现OAUTH响应中有一个属性“expires_in”，它告诉我令牌的有效期，但我不确定如何使用Scribe来使用它。我正在使用scribe连接到不同的提供商

是的，

notorafter

属性是决定响应何时以及如何有效的

条件的一部分

如果SP需要跟踪响应，则SP可以通过

InResponseTo

参数进行跟踪。请注意，许多SAML2实现允许未经请求（即Idp发起的）会话，其中Idp发送响应而从未从SP收到

AuthnRequest

---

我认为你应该把问题的

OAUTH

部分移到另一个问题上。要得到一个同时覆盖SAML2和OAUTH的答案可能很难。堆栈溢出通常不能很好地处理多个问题。请一次发布一个问题。我仍然有一个疑问：1）在我的情况下，IdP向SP发出浏览器后呼叫(https:///saml_login，现在我的SP生成一个SAMLResponse，该响应xml中包含InResponseTo属性。那么，攻击者是否可能使用同一个SAMLResponse进行多个POST调用？如果是，我如何防止这种情况发生？一致的SP实现必须确保特定的响应消息只使用一次。通常情况下通过保留响应消息的已用ID列表，直到

NotOnOrAfter

时间过去。您的意思是SP应在缓存中保留已用ID列表，并且缓存过期时间应与NotOnOrAfter相同吗？