如何避免会话数据密钥、中继状态等敏感信息作为 WSO2 IS 中查询参数的一部分

【问题标题】:How to avoid sensitive information like session data key, relay state etc as part of query params in WSO2 IS如何避免会话数据密钥、中继状态等敏感信息作为 WSO2 IS 中查询参数的一部分
【发布时间】:2018-03-21 07:20:01
【问题描述】:

我使用的是 WSO2 IS 5.3.0 版本。当我打开登录页面时,我在 URL 的查询参数中看到了更多信息。如何避免通过查询参数传输此信息。

例如:https://sample.com/authenticationendpoint/login.do?RelayState=https://sample.com/callback?client_name=Saml2Client&commonAuthCallerPath=/samlsso&forceAuth=false&passiveAuth=false&tenantDomain=carbon.super&sessionDataKey=11122234-o4df-5f6c-333a-23jghruy54jf&relyingParty=temp&type=samlsso&sp=temp&isSaaSApp=true&authenticators=BasicAuthenticator:LOCAL

【问题讨论】:

    标签: wso2 wso2is wso2carbon


    【解决方案1】:

    以上参数都不是敏感信息,用于跨浏览器重定向传递状态信息。

    人们可能会怀疑 "sessionDataKey" 会携带敏感信息。但是,一旦身份验证流程以 Success 或 Failure 完成,其生命周期就会结束。

    URL参数中的敏感信息,是可以从中介的日志中检索到的参数,可以用来伪造新的有效请求。这些参数都不能用于此目的。

    【讨论】:

    • 是的。 “sessionDataKey”是内部用于传递临时信息的标识符。正如@Ruwan 所解释的, sessionDataKey 的生命周期仅在身份验证流程完成之前。
    猜你喜欢
    • 2020-06-28
    • 2018-06-26
    • 1970-01-01
    • 2019-12-05
    • 2017-08-24
    • 2022-01-02
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode