Sto cercando di capire come funzionano varie tecnologie SSO come SAML 2.0, OpenID Connect 1.0.
In generale, funzionano in modo simile fornendo token (XML, JSON) tramite Identity Provider a Service Provider.
Ciò che non comprendo appieno è come vengono protetti questi token in modo che nessuno possa rubarli e usarli da dispositivi diversi per ottenere una sessione autenticata e impersonare.
Inoltre, come vengono memorizzati questi token? Sono memorizzati come cookie in un browser? In tal caso, sarebbe possibile rubare un token cookie e usarlo per impersonare qualcuno?
Come posso rilevare che il token è utilizzato in modo non autorizzato?
Sto cercando una vista pratica su come i token sono protetti e rappresentati quando viene stabilita l'autenticazione o quando si utilizza come SSO, quindi l'autenticazione non è richiesta dal provider di identità.