Non ho alcuna conoscenza di WebSeal o TFIM ma, per quanto riguarda SAML, la convalida deve essere eseguita prima.
SAML è un mezzo di comunicazione. Una lingua utilizzata dai servizi Web per parlare tra loro. La convalida della richiesta in entrata è essenziale per assicurarsi che vengano seguite la grammatica e la sintassi corrette.
Un AuthnRequest
non è altro che un messaggio XML che può contenere dettagli come:
- Un identificatore di richiesta
- data / ora
- Richiedi i dettagli dell'emittente (devi sapere con chi stai comunicando)
- URL di reindirizzamento dopo l'autenticazione
-
Firma XML (molto importante per verificare l'autenticità e l'integrità del messaggio)
- Riproduci token
Naturalmente la prima cosa da fare dopo aver ricevuto AuthnRequest
è di convalidare lo schema XML. La convalida degli altri campi è importante prima di presentare la pagina di accesso al client per filtrare le richieste forgiate, non standard e ripetute.
P.S. Un altro punto importante. SAML fornisce anche SSO. Supponiamo che un utente stia già utilizzando un servizio e che sia autenticato con l'IdP. Se desidera utilizzare un altro servizio, un nuovo SAML AuthnRequest verrà inviato all'IdP. In questo caso, dopo aver convalidato la richiesta, deve essere generata un'asserzione senza presentare una pagina di accesso all'utente per abilitare l'accesso diretto.