我们已经实现了一个自定义的STS解决方案(其中有一些合理的原因,我不想把这作为问题的重点)。在这个STS中,用户可以更新他/她的个人资料数据(名字、姓氏、电子邮件等),通过这样做,同一用户显然会更新他们自己的声明。
然而,我仍在努力找出如何通知RP某个特定用户的声明发生了变化。我已经查看了SO上关于RP声明无效的其他线程,似乎大多数答案都与http://garrettvlieger.com/blog/2010/03/refreshing-claims-in-a-wif-claims-aware-application/.
然而:这个链接(1)是旧的,(2)假设RP正在进行更新,而在我的情况下,它不是。
那么:如何ping每个RP以更新其声明?有没有内置的机制,或者我必须自己滚动?
子问题1:对我来说,一个可以接受的解决方案是使(每个RP上的)每个FedAuth cookie无效,这意味着我只需要对所有RP执行大规模注销。对此有什么想法吗?
WS-Fed协议中没有明确的内容。想想看,这就像驾驶执照一样,DMV怎么会使你的执照失效?他们需要一些后通道,并不是每个RP都能检查。
也许你可以触发IdP的退出——这当然是可能的,并且会以强有力的方式实现你想要的。