【问题标题】:Combine STS and relying party into same website将 STS 和依赖方合并到同一个网站
【发布时间】:2012-07-10 04:31:07
【问题描述】:

我正在开发一个 MVC 项目,我想完全使用 WIF 抽象出身份验证。默认情况下,无需任何额外配置,此应用除了作为依赖方外,还需要是它自己的 STS。有没有人这样做并有什么建议?

【问题讨论】:

  • @ElYusubov:安全令牌服务。一个共同的概念。
  • 努力解决这个问题!一方面,您需要该应用程序。外包身份验证。另一方面,您需要该应用程序。包括它。推动这一点的基本要求是什么?你不能部署应用程序。和 STS 在同一个 IIS 上?
  • 你说得对,WIF的强大之处在于外包认证。但是,为什么您不能将其外包给您自己的一部分,而不仅仅是一个单独的应用程序呢?要求是应用程序需要是自包含的,同时允许外部身份验证,因此我需要在应用程序中包含一个小型 STS。

标签: asp.net asp.net-mvc wif


【解决方案1】:

前段时间我试图想出完全相同的机制,但失败了。

我的理由是,要成为 RP,应用程序必须获得由 STS 颁发的签名 SAML 令牌。收到令牌后,将创建联合 cookie。

但是要成为 STS,应用程序应该有一个登录页面和一个保持登录会话的机制,这样用户就不必再次登录。然后它应该响应wsignin1.0 请求并发出 SAML 令牌。

在我看来,这导致了矛盾。应用程序在发出 SAML 令牌之前应该有一个联合 cookie(将用户会话保持为 STS),但同时它可以在收到 SAML 令牌后创建一个联合 cookie(作为 RP)。

当然,您可以维护两个 cookie,一个用于 RP 部分的联合 cookie 和一个用于 STS 部分的表单 cookie,但这听起来不切实际,并且与抽象身份验证的想法背道而驰。

简而言之:在我看来,这并不容易。不过,我很高兴听到别人的其他想法。

【讨论】:

  • 这是我在考虑如何做时得出的相同结论。
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2011-02-14
  • 1970-01-01
  • 2012-07-23
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多