WIF BootstrapToken过期

Question

我正在使用WIF保护的ASP.NET MVC + WCF开发web应用程序。我用的是主动STS。我对BootstrapToken过期的情况有问题，但由于滑动过期，SessionSecurityToken仍然有效。我有例外：

ID3242: The security token could not be authenticated or authorized.

1. 可以扩展引导令牌过期时间吗？
2. 是SAM的有效行为，它不检查cookie中的引导令牌是否过期。在我滑过会话到期的同一事件中，检查该值的最佳位置是什么？

Answer 1

SAM不包括会话cookie中的引导令牌。一旦SAM验证了它并建立了一个会话，引导令牌实际上就会在默认情况下被丢弃。因此，要回答你的问题：

1. 只有签名引导令牌的身份提供程序才能控制令牌的生存期。SAM无法更改这一点。
2. SAM只在身份验证期间验证引导过期时间。一旦完成此操作并建立了会话，SAM就不再需要引导令牌。

Answer 2

下面是我从这个post得到的答案的副本。

如果您正在使用Microsoft的Active Directory Federation (AD FS)，则可以调整/增加AD FS依赖方令牌的超时时间，使其更长，这将延长引导令牌的生存期。

例如，我们在获取新的会话令牌时遇到了一个问题，但在超时之前仍然存在超时。其中一位开发人员发现，存在一个延长依赖方令牌的生存期的设置，该设置与Windows标识基础(WIF)中的引导令牌相关。

设置如下：

Set-ADFSRelyingPartyTrust -TargetName YourTargetName -TokenLifetime 480

当我们将依赖方令牌的超时设置为与Web SSO令牌超时相同之后，它就开始工作了。

注意:您可以使用以下命令检查当前依赖方令牌的超时：

Get-ADFSRelyingPartyTrust -Name YourTargetName

注二:您可以通过打开AD管理工具，在左侧导航窗格中单击"AD FS“，然后单击”编辑联邦服务属性.“来检查Web SSO令牌的超时。在“操作”窗格中的右侧窗格中。