如果我们已经通过SSL(https)进行通信,是否有必要实施断言级加密(和属性级加密)?
答案 0 :(得分:2)
这取决于。您的断言中的数据有多敏感?通常,当实际用户数据被视为敏感或机密时,您将看到消息或属性级加密。如果您的SAMLResponse未加密,理论上某人(浏览器插件)可以检查其内容。因此,虽然它是经过数字签名以防止篡改,但数据可能会被泄露。
答案 1 :(得分:2)
如果您正在使用浏览器配置文件,即SP和IdP通过用户的浏览器交换消息,则SSL本身并不能防止所有情况下的中间人。例如,用户使用不安全的Wi-Fi并且恶意用户拦截流量的情况,交换CA签发的SSL证书的自签名SSL证书。如果用户点击警告,则会取消其传输级别的安全性,并可能违反机密性。另一方面,如果断言的敏感部分通过消息级加密来保护,则尽管用户判断不良,上述场景中的中间人仍然无法读取消息,并且确保了机密性。