2.2 SAML 的 Redirect/POST Bindings 方式 ( 即 IDP 推方式 )
该方式的主要特点是, IDP 交给 Subject 的不是凭证,而是断言。
过程如下图所示:
1,Subject 访问 SP 的授权服务, SP 重定向 Subject 到 IDP 获取断言。
2,IDP 会要求 Subject 提供能够证明它自己身份的手段 (Password , X.509 证书等 )
3,Subject 向 IDP 提供了自己的帐号密码。
4,IDP 验证密码之后,会重订向 Subject 到原来的 SP 。
5,SP 校验 IDP 的断言 ( 注意, IDP 会对自己的断言签名, SP 信任 IDP 的证书,因此,通过校验签名,能够确信从 Subject 过来的断言确实来自 IDP 的断言 ) 。
6,如果签名正确, SP 将向 Subject 提供该服务。
ok。