Если между приложением и эмитентом или поставщиком удостоверений существует доверительное отношение, каким образом это приложение распознает, что маркер безопасности получен только от эмитента? Является ли это некоторой информацией в токене вместе с утверждениями или она определяется изначально, когда мы создаем поставщика удостоверений в приложении?
Как приложение распознает маркер безопасности от поставщика удостоверений?
Ответы (1)
И то, и другое: RP (приложение) имеет список «доверенных эмитентов» (STS), а токен имеет цифровую подпись STS. Целостность токена проверяется в приложении по списку, который был настроен ранее.
Если приложение получает нескомпрометированный токен, но он исходит от эмитента, которого нет в списке, он будет отклонен.
Есть и другие проверки (realm, AudienceUri).
Кроме того, «доверие» является одним из способов, но обычно его необходимо настраивать на обоих концах.
person
Eugenio Pace
schedule
22.08.2012