1

パッシブ フェデレーションに関して、STS から証明書利用者へのセキュリティ トークンの転送がどのように正確に機能するのか疑問に思っています。Windows Identity Foundation とパッシブ フェデレーションに関するほぼすべての記事で、使用される "ツール" はブラウザー リダイレクト (ちなみに 30x http コードですか?) と Cookie だけであると言われています。しかし、STS がトークンを Cookie に保存し、その後ブラウザを証明書利用者にリダイレクトする場合、証明書利用者がこの Cookie を読み取ることができる可能性はありますか? Cookie の同一生成元ポリシーのようなもの (javascript のようなもの) はありませんか? Cookie (STS) の発行者は、依拠当事者とは別のアドレス/ソース/ドメインですが、それでも依拠当事者はこの「外部」Cookie へのアクセスを許可されていますか、それともこれを可能にするバックグラウンドの魔法ですか?

ありがとうございました

4

1 に答える 1

3

STS は Cookie を送信しません。それは不可能です。

代わりに、STS はブラウザに以下を含むページを返します。a) ページ本文の SAML トークン (XML) b) action=Relying Party url+ フォームを自動送信するための JavaScript

ブラウザーは喜んでそのようなフォームを依拠当事者に送信します。次に、クライアントからの連続した要求を認証するために使用される認証 Cookie を作成します。

「魔法」はなく、リクエスト本文で明示的に渡された SAML トークンだけです。トークンは STS 証明書によって署名されるため、RP はその信頼性を検証できます。

于 2011-11-21T11:14:31.480 に答える