我有一个移动客户端 (iOS) 和一个 Web 服务(WCF、.NET 4.5),我正在使用 Windows Identity Foundation 和 SAML 令牌保护它们。我的客户从自定义 STS 请求 SAML 令牌,一旦我的依赖方拥有该令牌,我就能够反序列化它并验证其声明。
但是,我不确定是否有标准的方式将令牌从客户端发送到依赖方?我猜令牌应该在每个请求的标头中,但是在传递这种类型的令牌时是否有一个通用的标头或 cookie 名称?
我可以看到您希望它在所有情况下如何不同,以防多个令牌来回传递,但我想知道这样做的标准是什么。