当两者都可用时,SP 或 IdP 是否应该更喜欢重定向或 POST?
Should an SP or IdP prefer Redirect or POST when both are available?
对于 AuthnRequest、Response 和 LogoutRequest,如果支持重定向和 POST(根据元数据),是否应该优先选择另一个?
最常见,请求可以是其中之一,但响应是 POST。这是由断言的安全性和大小驱动的。
安全性:如果使用重定向,响应是 URL 的一部分。因此,它可以在各种日志中捕获,如规范的安全注意事项中所述,特别是第 3.4.5.2 节 lines 670-1 of saml-bindings.
大小:部分企业发送大量属性,包括大组组。我什至见过在断言中发送的化身。这会使响应的大小变得非常大,并且在某些情况下,会超过浏览器允许的 URL 大小。
如果这些都不重要,则可以使用任何一个。
对于 AuthnRequest、Response 和 LogoutRequest,如果支持重定向和 POST(根据元数据),是否应该优先选择另一个?
最常见,请求可以是其中之一,但响应是 POST。这是由断言的安全性和大小驱动的。
安全性:如果使用重定向,响应是 URL 的一部分。因此,它可以在各种日志中捕获,如规范的安全注意事项中所述,特别是第 3.4.5.2 节 lines 670-1 of saml-bindings.
大小:部分企业发送大量属性,包括大组组。我什至见过在断言中发送的化身。这会使响应的大小变得非常大,并且在某些情况下,会超过浏览器允许的 URL 大小。
如果这些都不重要,则可以使用任何一个。