标签: security single-sign-on saml saml-2.0
在IDP启动的SSO中,来自IDP的SAML响应可能易于重播攻击。由于SP在获得响应之前一直不知道IDP启动的会话,因此有哪些可能的方法来保护重放攻击?
答案 0 :(得分:3)
SP应在声明的生存期内保存已接受声明的ID列表,以防止重放。
然后重新进行ID更改-使用正确签名的断言/响应是不可能的。中间人不能改变任何事情。如果有可能进行更改,那么您所面临的问题将不仅仅是重播。