Estoy configurando un ACS STS de Azure y me gustaría saber si hay algún impacto en la seguridad en función de los siguientes formatos de token o cómo se utilizan. Las respuestas a estas preguntas deben aplicarse a otros STS como CA Siteminder, Ping Identity, ADFS y otros. Aquí está la selección que veo en mi portal de configuración:
Elenlacedeayudacorrespondiente
La diferencia en el formato de token es simplemente la forma en que se serializa:
- El tamaño del token (que puede redondear al navegador)
- Diferencias fundamentales en seguridad
- Diferencias en características y funcionalidad
He escuchado en varias charlas de MSFT que SWT es una versión muy simplificada de SAML, y JWT es un estándar aún no finalizado de Google, IBM y MSFT que debe comprometer las funciones entre SWT y SAML.