【发布时间】:2021-11-25 13:05:49
【问题描述】:
如果我的身份提供者向我发送了 Saml2AuthnResponse 的 <Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> 元素中的签名无效,则 Unbind() 方法将引发 Invalid Signature 异常。这很好,符合预期。
但是,如果 <Signature> 元素完全丢失(Saml2AuthnResponse 未签名),我一点也不例外。这是预期的吗?这是安全风险吗?
断言是加密的,通信是通过 HTTPS 进行的。但我仍然有点担心签名对于Saml2AuthnResponse 是可选的。我可以强制/要求签名吗?
【问题讨论】:
标签: .net-core saml-2.0 itfoxtec-identity-saml2