1
응용 프로그램과 발급자 또는 ID 공급자간에 트러스트 관계가있는 경우 보안 토큰이 발급자의 것임을이 응용 프로그램이 인식하는 방법은 무엇입니까? 따라서 토큰에있는 정보가 클레임과 함께 있습니까? 아니면 응용 프로그램에서 ID 공급자를 만들 때 처음에 정의되어 있습니까?응용 프로그램은 ID 공급자의 보안 토큰을 어떻게 인식합니까?
응용 프로그램과 발급자 또는 ID 공급자간에 트러스트 관계가있는 경우 보안 토큰이 발급자의 것임을이 응용 프로그램이 인식하는 방법은 무엇입니까? 따라서 토큰에있는 정보가 클레임과 함께 있습니까? 아니면 응용 프로그램에서 ID 공급자를 만들 때 처음에 정의되어 있습니까?응용 프로그램은 ID 공급자의 보안 토큰을 어떻게 인식합니까?
둘 다 : RP (응용 프로그램)에는 "신뢰할 수있는 발급자"(STS) 목록이 있으며 토큰은 STS에서 디지털 서명합니다. 토큰의 무결성은 이전에 구성된 목록과 비교하여 앱에서 확인됩니다.
손상되지 않은 토큰이 앱에 의해 수신되었지만 목록에없는 발급자로부터 오는 경우 거부됩니다.
다른 유효성 검사 (realm, audienceUri)도 있습니다.
또한 "신뢰"는 한 가지 방법이지만 일반적으로 양쪽에서 구성되어야합니다.
이것은 현재 내 의심을 정말로 없애줍니다. 정말 고맙습니다. –