是否有什么可以阻止用户修改发送给服务提供商的SAML断言?
例如,如果SAML响应通过电子邮件地址向服务提供商标识用户,那么断言中是否有任何内容可以阻止某人使用类似Fiddler的内容修改它,并将其电子邮件地址替换为同一个人在他们试图访问的服务中具有更高级别访问权限的公司?
答案 0 :(得分:5)
您的SAML响应中的断言应该使用私钥/公钥对和xmldsig进行签名。如果它们被正确签名,更改断言的内容将使签名无效,从而使断言本身无效。
现在,如果
然后几乎任何事都有可能。
答案 1 :(得分:0)
是的,它可以被修改,但即使是响应的微小变化(如添加空格)也会使服务提供商端的签名验证过程失败(前提是SP正在验证它应该这样做)