spring security SAML中的java刷新会话
我们使用Spring SAML扩展为客户提供SSO支持。它与我们的开发环境IDP(okta)配合得很好。然而,我们的一个客户正在使用Tivoli作为IDP,我们遇到了一个问题,在一段时间后,用户将开始无法验证错误
根据研究,我们发现Tivoli正在为
<saml:AuthnStatement AuthnInstant="2015-09-14T20:14:14Z" SessionIndex="xxxx" SessionNotOnOrAfter="2015-09-14T21:14:14Z">
在我们的SAML断言响应中
我想知道作为SP,我们有哪些选项来处理这种情况。我们是否应该在用户遇到问题时提示他们重新进行身份验证,或者我们是否有办法以某种方式设置应用程序,以便它能够自动刷新会话
谢谢 萨希尔
# 1 楼答案
此SessionNotOnOrAfter属性将使有效负载过期。SP不应该永远收到相同的有效载荷,如果是这样的话,中间人攻击的可能性很大
SP应该实现KeepAlive功能,以ping回IDP,从而扩展相同负载的会话。所以IDP可以用当前数据和时间戳更新这个属性