OAuth2 SAML bearer spec mô tả cách ứng dụng có thể trình bày xác nhận cho điểm cuối mã thông báo làm khoản cấp phép. Ví dụ: Salesforce's API cho phép phương pháp này cho phép các ứng dụng tự động yêu cầu mã thông báo truy cập cho tài khoản người dùng (miễn là người dùng đã cấp quyền cho điều này, ngoài băng).Ý nghĩa của SubjectConfirmation trong cấp phép SAML OAuth2 là gì?
Tôi đang gặp sự cố khi hiểu ý nghĩa của xác nhận. Hầu hết là đủ rõ ràng, ví dụ:
Issuer
là bên đó được tạo ra (và đã ký) sự khẳng địnhSubject
là người sử dụng cho tài khoản mà một thẻ truy cập đang được yêu cầuAudienceRestriction
giới hạn khán giả đến endpoint token.
Nhưng tôi đang gặp rắc rối hiểu được ý nghĩa của:
AuthnStatement
- hiểu biết của tôi từ spec SAML là người phát hành khẳng định này được đưa ra tuyên bố rằng nó (tổ chức phát hành) đã xác thực chủ đề. Thê nay đung không?SubjectConfirmation
- ai đang xác nhận điều gì ở đây? Thông số SAML nêu rõ rằng yếu tố này "Thông tin cho phép đối tượng được xác nhận". Nhưng xác nhận là gì? Và ai thực hiện nó, và làm thế nào, và khi nào, và cho mục đích gì?