SAML简介:安全地共享数字身份信息
作者: , 出处:dev2dev, 责任编辑: 叶江,
2006-10-17 12:41
安全是所有Web项目在设计时都要考虑的一个重要因素。无论是选择最短口令,决定何时使用SSL加密HTTP会话,还是通过自动登录cookie来识别用户,都经常要付出重大的设计努力,以保护用户的身份信息和他们可能存放于Web站点的其他资料。糟糕的安全性可能带来公关灾难。
上面第4步中的SAML请求将通过HTTP作为从目标站点到源站点的SOAP消息发送。消息体将类似于:
<!-- This request would be wrapped in a SOAP envelope -->
<samlp:Request xmlns:samlp="urn:oasis:names:tc:SAML:1.0:protocol"
MajorVersion="1"
MinorVersion="1"
RequestID="_216.27.61.137.103896224111"
IssueInstant="2005-03-19T17:04:21.022Z">
<samlp:AssertionArtifact>
AAGZE1RNQJEFzYNCGAGPjWvtDIRSZ4
</samlp:AssertionArtifact>
</samlp:Request>
该请求把自己标识为来自SAML请求-应答协议名称空间的SAML 1.1请求(MajorVersion和MinorVersion)。SAML为请求-应答协议元素定义了一个名称空间,为断言定义了另一个单独的名称空间。Request拥有基于请求者IP地址的惟一ID。请求的准确时间也包括在内。
该请求中最有趣的部分是<AssertionArtifact>标记中令人费解的字符串。目标站点从用户HTTP请求的查询字符串中得到该值。由于它用于标识浏览器,所以也叫“浏览器凭证”。注意,该请求没有要求提交特定用户的验证。该请求创建时,目标方并没有用于提交请求的用户名。该信息将在应答中得到。浏览器凭证告诉可能正在同时向目标站点发送很多用户的源站点,应该在此应答中发送哪个用户的断言。下面是一个应答示例:
……
阅读关于 SAML XML OASIS WebLogic SOAP 的全部文章
- 本文关键词:
