Должно ли программное обеспечение федерации SAML принимать один и тот же ответ SAML, если он находится в пределах допустимого срока действия токена SAML?
Проще говоря: IDP (определение поставщика) выдает ответ SAML, затем SP (поставщик услуг) принимает/обрабатывает его. Можно ли повторно использовать тот же немодифицированный ответ SAML сразу же после первого использования? При условии, что временная метка выдачи SAML находится в допустимом диапазоне.
С точки зрения безопасности имеет смысл ограничить токен (ответ) SAML только одним использованием, так что даже если он будет украден «злоумышленником посередине», его нельзя будет использовать повторно. Но для того, чтобы реализовать это, программа должна где-то хранить некоторую информацию об ответе SAML: серийный номер, хэш всего этого?
Пожалуйста, предоставьте несколько ссылок с пояснениями о том, что возможно и/или примерами реализации.
Благодарю вас! Алекс.