我正在开发一个 MVC 项目,我想完全使用 WIF 抽象身份验证。默认情况下,无需任何额外配置,此应用除了作为依赖方外,还需要是它自己的 STS。有没有人这样做并有任何建议?
问问题
336 次
1 回答
1
前段时间我试图想出完全相同的机制,但我失败了。
我的理由是,要成为 RP,应用程序必须获得由 STS 颁发的签名 SAML 令牌。收到令牌后,将创建联合 cookie。
但是要成为 STS,应用程序应该有一个登录页面和一个保持登录会话的机制,这样用户就不必再次登录。然后它应该对wsignin1.0请求做出反应并发出 SAML 令牌。
这导致了我认为的矛盾。应用程序在发出 SAML 令牌之前应该有一个联合 cookie(将用户会话作为 STS 维护),但同时它可以在收到 SAML 令牌后创建一个联合 cookie(作为 RP)。
当然,您可以维护两个 cookie,一个用于 RP 部分的联合 cookie 和一个用于 STS 部分的表单 cookie(可能),但这听起来不切实际并且违背了抽象身份验证的想法。
简而言之:在我看来,这并不容易。但是,我很高兴听到某人的其他想法。
于 2012-07-06T20:39:05.567 回答