我所处理的代码是使用第三方IdP并使用SAML令牌在服务器端访问我的API。
在第三方IdP SAML响应没有过期时间的情况下。这是否意味着第三方IdP对用户进行身份验证,直到用户做出任何logout行为?
通常SAML断言包括
<saml2:Conditions NotBefore="2022-07-13T00:28:11.616Z"
NotOnOrAfter="2022-07-13T00:38:11.616Z">
这是断言可以依赖的时间跨度。在此期间有效。如果条件不存在,提供者会说随时依赖它。
从安全角度来看,您应该只在登录用户的一小段时间内信任断言。因此,如果NotOnOrAfter不包括在内,您的应用程序应该选择一个合理的短时间(10分钟(。
然而,这只是您相信IdP能够正确验证用户的时间长度。然后,您需要决定用户的会话在注销或强制执行另一个身份验证请求之前可以保持登录状态多长时间。
我相信最后一部分是您问题的主要部分,会话最长时间是您需要为application/api做出的决定。