Considera i passaggi coinvolti nel profilo del richiedente passivo della WS-Federation 1 :
Theabovefigureshowsasequencediagramofauser(requestor)accessingawebapplicationwithhisbrowser.Sincetheuserwasnotauthenticationduetoarecentsession,theapplicationredirectstheusertotheIDPforauserlogin(1).TheIDPcollectsthecredentialsfromtheuserandusesaSecurityTokenService(STS)tovalidatethecredentialsandalsotogetaSAMLtokenfromtheSTS(2).TheSTSitselfisconnectedtoaLDAPdatastoretovalidatetheusercredentialsandalsotoretrieveadditionalinformation(claims)abouttheuser,e.g.roles.Onsuccessfulauthentication(3)theIDPreturnstheSAMLtokenissuedbytheSTS(4)totheuserandadvices(auto-submittingform)theusertosendthisSAMLtokentotheoriginallyrequestedwebapplication(5).TheIDPtakescareofprovidingawebuserinterfaceandhandlingURLredirects,whereastheSTSisresponsibleforgeneratingSAMLTokenandvalidatingofusercredentials.ThewebapplicationvalidatestheSAMLtoken(6)andonsuccessreturnsthedesiredwebpage(7).
Nelpassaggio4,possiamorestituireunmoduloall'utentechesiautoinviaautomaticamente.QuestomodulorichiedeunaprotezioneCSRFsudiesso?
Stocercandoconferma,mapensochelarispostasia"no" . Anche se un sito Web dannoso potrebbe far sì che un utente esegua POST in questo modulo, dovrà anche creare un token di sicurezza.
Fonti: