SAML 令牌是否缓存/存储在浏览器的任何位置? [英] Are SAML tokens cache/stored anywhere on the browser?

查看:46
本文介绍了SAML 令牌是否缓存/存储在浏览器的任何位置?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!

问题描述

场景:

  1. 浏览器(用户)从服务提供商 (SP) 请求资源.
  2. SP 重定向(使用 SAML 请求)到身份提供商 (IdP).
  3. 由于是第一次登录,因此用户向 (IdP) 提供了他/她的有效凭据.
  4. IdP 然后将浏览器(使用包含 SAML 令牌的 SAML 响应)重定向到 SP 页面.

我有两个问题:

A.在第 4 步中,浏览器是否存储或缓存 SAML 响应和/或 SAML 令牌?

A. In Step 4, does the Browser store or cache the SAML Response and/or SAML token?

B.如果是,什么样的事情(属性?超时?协议?)阻止我获取存储的 SAML 令牌.然后将其复制到另一台计算机(使用新会话)并使用该令牌登录到同一个 SP?

B. If yes, what kind of things (attributes? timeouts? protocols?) prevent me from taking that stored SAML token. Then coping it over to another computer (with a new session) and using that token to Login to the same SP?

推荐答案

答案是某种"重新缓存.在您的场景中,响应将通过 POST 从浏览器发送到服务提供商.因此浏览器可以缓存"包含 SAML 响应的 POST 数据.因此,就像浏览器中的任何其他 POST 事件一样,如果用户在登录 SP 后使用返回按钮的次数足够多以返回 POST 事件,则可以将 POST 数据重新发送到 SP.

The answer is "sort of" re caching. In your scenario, the Response will be sent via POST to the Service Provider from the browser. So the browser can "cache" the POST data that contains the SAML Response. So, just like any other POST event in browsers, if the user were to use the back button enough times after logging into the SP to get back to the POST event, the POST data could be resent to the SP.

有一些事情可以帮助防止响应被劫持 -

There are a few things that help keep the Response from being hijacked -

  1. 各方之间使用 HTTPS
  2. NotBefore & 的 SP 执行NotOnOrAfter 属性
  3. SP 执行一次性使用标准(SP 必须确保 Response 在其有效期内不被重复使用.如果在有效期窗口之外接收到消息,则 SP 应丢弃该消息)

这篇关于SAML 令牌是否缓存/存储在浏览器的任何位置?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!

查看全文
登录 关闭
扫码关注1秒登录
发送“验证码”获取 | 15天全站免登陆