如何使用SAML2防止IDP启动的SSO中的重放攻击

时间:2018-11-13 18:55:19

标签: security single-sign-on saml saml-2.0

在IDP启动的SSO中,来自IDP的SAML响应可能易于重播攻击。由于SP在获得响应之前一直不知道IDP启动的会话,因此有哪些可能的方法来保护重放攻击?

1 个答案:

答案 0 :(得分:3)

SP应在声明的生存期内保存已接受声明的ID列表,以防止重放。

然后重新进行ID更改-使用正确签名的断言/响应是不可能的。中间人不能改变任何事情。如果有可能进行更改,那么您所面临的问题将不仅仅是重播。