1

关于被动联合,我想知道从 STS 到依赖方的安全令牌传输是如何工作的。在几乎每一篇关于 Windows Identity Foundation 和被动联合的文章中,都说浏览器重定向(顺便说一下,是 30 倍的 http 代码吗?)和 cookie 是唯一使用的“工具”。但是:当 STS 将令牌存储在 cookie 中,然后将浏览器重定向到依赖方时,依赖方怎么可能读取到这个 cookie?是不是有类似 cookie 的同源策略(就像 javascript 一样)?cookie (STS) 的发布者是依赖方之外的另一个地址/源/域,仍然允许依赖方访问这个“外国”cookie,还是在后台有一些魔法使这成为可能?

谢谢

4

1 回答 1

3

STS 不发送 cookie,这是不可能的。

相反,STS 会向您的浏览器返回一个页面,该页面包含:a) 页面正文 (XML) 中的 SAML 令牌 b) action=Relying Party url+ 用于自动提交表单的 javascript

浏览器愉快地将这样的表单提交给依赖方。然后它负责创建用于验证来自客户端的连续请求的验证 cookie。

没有“魔法”,只是在请求正文中明确传递了一个 SAML 令牌。令牌由 STS 证书签名,因此 RP 可以验证其真实性。

于 2011-11-21T11:14:31.480 回答