LWS 1.0 认证套件:SAML 2.0
关于本文档的更多详细信息
Copyright © 2026 World Wide Web Consortium. W3C® liability, trademark and permissive document license rules apply.
Copyright © 2026 World Wide Web Consortium. W3C® liability, trademark and permissive document license rules apply.
本文档定义了用于 Linked Web Storage(LWS)协议的基于 SAML 的认证套件,使 LWS 应用程序能够与 SAML 2.0 身份提供者集成。
本节描述本文档在发布时的状态。当前 W3C 出版物列表以及本技术报告的最新修订版可在 W3C 标准与草案 索引中找到。
这是一个非官方提案。
本文档由 Linked Web Storage 工作 组作为 工作草案发布,并使用 推荐标准 轨道。
作为 工作草案发布并不意味着 W3C 及其成员认可该文档。
本文档是草案文档,可能随时被其他文档更新、取代或废弃。除非作为 正在进行中的工作,否则不宜引用本文档。
本文档由一个按照 W3C 专利 政策运作的工作组制作。 W3C 维护着一个 与该工作组交付物有关的任何专利披露的公开列表; 该页面还包含 披露专利的说明。实际知晓某项专利,并认为该专利包含 基本权利要求 的个人,必须按照 W3C 专利政策第 6 节披露该信息。
本文档受 2025 年 8 月 18 日 W3C 流程文档管辖。
安全断言标记语言(SAML)是一种开放标准,用于在各方之间交换认证和 授权断言, 通常是在基于 Web 的服务提供者(即应用程序)与身份提供者之间交换。这些 断言以 XML 格式编码, 其中包含数字签名。本规范描述了如何在 Linked Web Storage 环境中使用基于 SAML 的身份令牌 对最终用户进行认证。
除标记为非规范性的章节外,本规范中的所有编写指南、图表、示例和注释均为非规范性的。除此之外,本规范中的所有内容均为规范性的。
本文档中的关键词 MUST 和 SHOULD 应按照 BCP 14 [RFC2119] [RFC8174] 中的说明进行解释,且仅当它们以如本文所示的全大写形式出现时才如此解释。
术语“授权服务器”和“客户端”由 OAuth 2.0 授权框架 [RFC6749] 定义。
术语“身份提供者”和“断言”由安全断言标记语言(SAML) 2.0 [SAML2-CORE] 定义。
术语“认证 凭据”和“认证 套件”由 Linked Web Storage Protocol [LWS10-CORE] 定义
用作认证凭据的 SAML 令牌 MUST 经过签名。此外,有效的 SAML 令牌 MUST 包含以下断言:
SAML 令牌 MUST 使用 saml:NameID 断言作为 LWS 主体
标识符。
SAML 令牌 MUST 使用 saml:Issuer 断言作为 LWS 发行者
标识符。
SAML 令牌 MUST 使用
saml:SubjectConfirmationData 断言中的 Recipient 参数作为 LWS 客户端标识符。
SAML 令牌中的任何受众限制 MUST 使用 saml:Audience
断言。saml:Audience 断言 SHOULD 包含客户端
标识符以及任何其他目标受众,例如授权服务器。
下面包含一个 SAML 认证凭据示例。
<samlp:Response
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
xmlns:ds="http://www.w3.org/2000/09/xmldsig#"
Version="2.0"
IssueInstant="2025-10-25T01:01:16Z">
<saml:Issuer>https://idp.example
<ds:Signature>
<ds:SignedInfo>
...
<ds:SignedInfo>
<ds:SignedInfo>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
<samlp:Status>
<saml:Assertion Version="2.0" IssueInstant="2025-10-25T01:01:16Z">
<saml:Issuer>https://idp.example</saml:Issuer>
<saml:Subject>
<saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
https://id.example/end-user
<saml:NameID>
<saml:SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<saml:SubjectConfirmationData NotOnOrAfter="2025-10-25T02:01:16Z"
Recipient="https://app.example/SAML"/>
<saml:SubjectConfirmation>
<saml:Subject>
<saml:Conditions NotBefore="2025-10-25T01:01:16Z"
NotOnOrAfter="2025-10-25T02:01:16Z">
<saml:AudienceRestriction>
<saml:Audience>https://app.example/SAML
<saml:Audience>https://as.example
<saml:AudienceRestriction>
<saml:Conditions>
<saml:Assertion>
<samlp:Response>为了验证 SAML 认证凭据, 必须与签发身份提供者存在信任关系。 本规范未定义验证实体如何与身份提供者建立信任关系, 而是预期这些关系通过带外方式建立。
使用与发行者之间的信任关系,凭据的签名 MUST 按照 SAML Core 第 5 节 [SAML2-CORE] 中的描述进行验证。
用作认证凭据的
SAML 2.0 断言 MUST 在与授权服务器交互时使用 urn:ietf:params:oauth:token-type:saml2
URI。
本节为非规范性内容。
“OASIS 安全断言标记语言(SAML)V2.0 的安全与隐私考虑事项”中描述的所有安全考虑事项 均适用于本规范。
SAML 身份提供者应支持一种机制,用于将认证凭据的受众限制为 一组有限实体, 包括授权服务器。持有没有受众限制的认证凭据的客户端 应使用例如 OAuth 2.0 Token Exchange [RFC8693],将该令牌交换为等效的受众受限令牌。
本节为非规范性内容。
本节需要完成。