在 WIF 中使用带有会话身份验证模块 (SAM) 和 Thinktecture IdentityModel 的滑动会话时,如brockallen 的博客中所述。颁发并写入 cookie 的会话安全令牌已根据需要扩展“有效”,并相应地设置 cookie。
但是,序列化为当前声明 Identity 的 BootStrapToken 仍然是旧的,带有可能过期的令牌。当出于不同原因(其中可能是实现“穷人”的委托)尝试使用引导上下文令牌时,这会导致问题。
用新发行的令牌更新引导令牌的最佳方法是什么?
2 回答
1
如果您使用的是 Microsoft 的 Active Directory 联合身份验证服务 (AD FS),则可以调整/增加 AD FS 依赖方令牌的超时时间以延长 WIF 引导令牌的生命周期。
例如,我们遇到了获取新会话令牌的问题,但在 AD FS Web SSO 超时之前仍然存在超时。其中一位开发人员发现有一个设置可以延长依赖方令牌的生命周期,这与 Windows Identity Foundation (WIF) 中的引导令牌相关。
设置如下:
Set-ADFSRelyingPartyTrust -TargetName YourTargetName -TokenLifetime 480
在我们将依赖方令牌的超时设置为与 Web SSO 令牌超时相同后,它就起作用了。
注意:您可以使用以下命令检查当前信赖方令牌的超时时间:
Get-ADFSRelyingPartyTrust -Name YourTargetName
注意二:您可以通过打开AD FS管理工具,在左侧导航窗格中单击“AD FS”,然后在右侧窗格中的“操作”窗格中单击“编辑联合服务属性...”来检查Web SSO令牌的超时。
于 2017-07-13T21:37:48.513 回答
0
获得新的“引导”令牌的唯一方法是往返于实际的发行者。
于 2014-02-24T10:35:27.953 回答