Um software de federação SAML deve aceitar a mesma resposta SAML, desde que esteja dentro da vida útil permitida do token SAML?

Em termos mais simples: O IDP (identificar provedor) emite uma resposta SAML e o SP (provedor de serviços) a aceita / processa. A mesma resposta SAML não modificada pode ser reutilizada imediatamente após o primeiro uso? Dado que o registro de data e hora da emissão SAML está dentro do intervalo permitido.

Em termos de segurança, faz sentido restringir um token SAML (resposta) a apenas um uso, para que, mesmo que seja roubado por um "homem do meio" - ele não poderá ser reutilizado. Mas, para implementar isso, o software precisa armazenar algumas informações sobre a resposta SAML em algum lugar: número de série, um hash da coisa toda?

Forneça alguns links com as explicações possíveis e / ou exemplos de implementação.

Obrigado! Alex.