【发布时间】:2016-11-01 20:06:59
【问题描述】:
我是否需要特别小心不要泄露 SAMLRequest?我的直觉告诉我不,因为这只是请求……但我想确定一下。
【问题讨论】:
标签: saml
【发布时间】:2016-11-01 20:06:59
【问题描述】:
SAML 请求通常不包含任何机密信息。但它可以在<saml:Subject> 元素中包含用户的身份。取决于可以说是机密的上下文。
还有一个选项包括响应返回位置 - 在 SAML2 术语中称为“断言消费者服务”或 ACS。这只是应用程序的 URL,因此它不是机密的(除非有人在该 URL 中编码机密信息,但为什么呢?)。但是,确保响应不会发送给其他人,使用来自 AuthnRequest 的动态 ACS 需要 AuthnRequest 受签名保护。
【讨论】:
SAML 请求不包含任何敏感/机密信息。仅包含SP url信息和中继状态信息。
签名的 SAML 请求将另外包含散列签名值以及 SP 的公钥。
【讨论】: