不同的 SAML 令牌验证调用具体有什么作用？

Question

我正在尝试验证 REST Web 服务中由基于 WIF 的自定义 STS 创建的 SAML 令牌。

有几个函数可以进行验证。一个是SecurityTokenHandlerCollection.ValidateToken()，另一个是SamlSecurityTokenAuthenticator.ValidateToken()。

不幸的是，这些类和函数的在线 Microsoft MSDN 帮助毫无价值，并且根本没有描述这些函数正在做什么。

这些函数验证什么以及它们是如何执行的？它们之间有什么区别？他们是否会自动在 Windows 证书存储中查找证书以检查令牌的签名并验证加密的凭据对象？因为我没有在任何地方传递证书名称。或者我需要自己执行其他手动操作来验证令牌吗？

我意识到一个返回一个 ClaimsIdentityCollection ，另一个返回 IAuthorizationPolicy 对象的集合。但这是唯一的区别吗？我不知道。

我可以在网上找到大量有关 STS 和声明甚至验证声明的信息，我正在成功地做到这一点，但我几乎找不到任何有关验证令牌本身以确保它是我创建的信息。

Answer 1

在大多数情况下，您无需担心令牌验证详细信息。这一切都由 WIF 为您照顾。

但如果您真的想知道，最好的信息来源是 Vittorio 的书： http://rads.stackoverflow.com/amzn/click/com/0735627185" rel="nofollow noreferrer">http:// /www.amazon.com/Programming-Windows%C2%AE-Identity-Foundation-Dev/dp/0735627185

这里有一些详细信息：http://msdn.microsoft.com/en-us/library/ff359114.aspx

另一种好的学习方法是查看扩展旨在处理非 SAML 令牌（例如 SWT）。 此处下载示例并查找 REST 服务。