我是否需要特别小心不要泄漏SAMLRequest?我的直觉告诉我不,因为这只是请求......但我想确定。
答案 0 :(得分:1)
SAML请求不包含任何敏感/机密信息。它仅包含有关SP URL和中继状态信息的信息。
签名的SAML请求还将包含散列签名值以及SP的公钥。
答案 1 :(得分:1)
SAML请求通常不包含任何机密信息。但它可以包含<saml:Subject>元素中用户的身份。取决于可以说是机密的背景。
还有一个选项可以包含响应返回位置 - 在SAML2语言中称为“断言消费者服务”或ACS。这只是应用程序的URL,因此它不是机密的(除非有人在该URL中编码机密信息,但为什么?)。但是,确保响应不会发送给其他人使用AuthnRequest中的动态ACS需要AuthnRequest受签名保护。