Windows Identity Foundation と SAML トークンを使用して保護しているモバイル クライアント (iOS) と Web サービス (WCF、.NET 4.5) があります。カスタム STS から SAML トークンを要求するクライアントがいて、証明書利用者がそのトークンを取得したら、それを逆シリアル化し、その要求を検証できます。
ただし、クライアントから証明書利用者にトークンを送信する標準的な方法があるかどうかはわかりません。トークンは各リクエストのヘッダーにあるはずだと思いますが、このタイプのトークンを渡すときに使用される一般的なヘッダーまたは Cookie 名はありますか?
複数のトークンがやり取りされる場合に、すべてのケースでどのように異なるようにするかはわかりましたが、これを行うための標準は何なのか疑問に思っています。