我是SAML的新手,最近我被要求使用Spring Security SAML扩展实现SSO SP。
我能够实现整个SSO流,并且看起来工作正常,但是我只是想了解SAML的安全性。
攻击者能否嗅探SAML响应,取出signatureValue和公共证书,然后将其重用以发出另一个SSO请求? (这没有考虑其他断言属性,例如时间等)
我希望有人能启发我。
干杯。
答案 0 :(得分:0)
您需要私钥才能生成新签名。公钥用于验证,私钥用于签名生成。我建议阅读许多有关解释PKI及其工作原理的文章之一,该文章可从Internet上获得。证书可能建议使用其他攻击形式,因此您可以加密响应甚至使用超出范围的SAML配置文件,例如工件解析。当然,这全都取决于您的IdP及其是否支持它。