个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我的目标是实现单点注销协议(protocol)。首先,我了解该标准的工作原理以及如何将其适应我的场景:ADFS 2.0 作为 IdP,对我来说就像一个“黑匣子”
我现在正在做的事情是:
发送 <AuthnRequest>到我的 IdP
IdP 要求我提供凭据,我提供了这些凭据并成功登录。
从 中获取 SessionIndex 值并构造 <LogoutRequest>
<samlp:LogoutRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" ID="_135ad2fd-b275-4428-b5d6-3ac3361c3a7f" Version="2.0" Destination="https://idphost/adfs/ls/" IssueInstant="2008-06-03T12:59:57Z"><saml:Issuer>myhost</saml:Issuer><NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress" NameQualifier="https://idphost/adfs/ls/">myemail@mydomain.com</NameID<samlp:SessionIndex>_0628125f-7f95-42cc-ad8e-fde86ae90bbe</samlp:SessionIndex></samlp:LogoutRequest>
取上面的<LogoutRequest>并将其编码为 Base64
构造下一个字符串:SAMLRequest=base64encodedRequest&SigAlg=http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1
用上面的字符串生成签名
对签名进行 Base64 编码
发送请求:https://"https://idphost/adfs/ls/?SAMLRequest=base64encodedRequest&SigAlg=http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1&Signature=base64EncodedSignature
但是 IdP 正在回答我:SAML 消息签名验证失败。
为了进行签名,我使用我的私钥(2048 字节),为了验证,假定 IdP 使用我的公钥(我在注册主机时发送的公钥)
用于签署请求的代码如下所示:
// Retrieve the private key
KeyStore keyStore = KeyStore.getInstance("JKS", "SUN");
FileInputStream stream;
stream = new FileInputStream("/path/to/my/keystore.jks");
keyStore.load(stream, "storepass".toCharArray());
PrivateKey key = (PrivateKey) keyStore.getKey("keyAlias","keyPass".toCharArray());
// Create the signature
Signature signature = Signature.getInstance("SHA1withRSA");
signature.initSign(key);
signature.update("SAMLRequest=jVJda8IwFH2e4H8ofW%2BbVmvboGWCDApusDn2sBdJm1sNtEmXmw7x1y92KDrY2Ov5uueEzJG1TUfXaqd68wIfPaBxDm0jkQ7Mwu21pIqhQCpZC0hNRTfLxzWNfEI7rYyqVONeWf52METQRijpOsVq4W7JoSzjJJnWAEAmwLMMpmRG0jCrYJICIcR13kCjdSxcG%2BA6K9tQSGYGZG9MhzQIGrUT0uPw6VegpV%2FtA8ZrDBq0ZxB7KCQaJo2NICT1yMwjk9cwonFG4%2BTdzceju%2FmpOx3EOu8qYThgGJ3j5sE1fZE%2F2X3FynlQumXm9%2BGhHw6I4F49SCm0TDRLzjWgrXiKee5ZI2oB%2Bj%2Bj8qYX6GvFtdj1cPRryzPJ4Xh%2F2%2Fe736VvRzf2nn24wmoP%2BZbMojSM4tpL6iz2plFVeYyn4NUc0hmDjJQlfCf9cI5HZ%2Fjm4%2BRf&RelayState=null&SigAlg=http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1".getBytes());
String signatureBase64encodedString = (new BASE64Encoder()).encodeBuffer(signature.sign());
最佳答案
终于我找到了正确的食谱:
我们可以使用 SAML 2.0 调试器执行步骤 2 和 3(https://rnd.feide.no/simplesaml/module.php/saml2debug/debug.php)。而对于URL编码使用经典的w3schools(http://www.w3schools.com/tags/ref_urlencode.asp)
警告!确保 ADFS2 中的依赖方算法设置为 SHA1!
最诚挚的问候,
路易斯
ps:现在我必须编写一点代码......
pps:您可以在这里找到代码:https://github.com/cerndb/wls-cern-sso/tree/master/saml2slo
关于saml-2.0 - 构造签名的 SAML2 LogOut 请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8150096/
25
4
0
好吧,我读了 Facebook 建议,告诉我最好是当用户从我的网站注销时关闭 Facebook session 。 信息在这里:https://developers.facebook.com/docs
我使用的是 Django 1.6.1,我在 /admin 处收到此错误该项目是一个新项目,没有使用其他模型。 Reverse for 'logout' with arguments '()' and
我对使用 passport-saml 进行身份验证时注销用户的正确方法有疑问。 带有 passport-saml 的示例脚本显示注销如下: app.get('/logout', function(re
我已经用 Spring Security 3.0.2 实现了一个登录-注销系统,一切都很好,但是对于这一点:在我添加了一个带有 invalid-session-url 属性的 session 管理标签
使用Phoenix框架,如何在用户注销并按下浏览器后退按钮后阻止用户访问之前的页面? 最佳答案 浏览器能够访问该页面是因为默认情况下允许缓存响应。如果您想防止这种情况发生,您需要在需要身份验证的页面上
我正在尝试通过第三方单一登录提供程序(例如rpxnow)提供身份验证功能。登录页面的每次刷新后,我无法检索提供者设置的cookie,因此当用户希望注销时可以删除它们吗? 还有其他方法可以正常注销用户,
当我调试ssh时,我发现“logout”的返回值是他之前的命令。例如, [server1 ~] $ ssh root@server2 /* login server2 from server1 *
使用with语句时,是否需要调用imap4类的close和logout方法? docs不要提供太多上下文。 Changed in version 3.5: Support for the with s
我正在使用云代码,并且有两个 Parse 帐户。我已经授权了第一个 Parse 帐户,但我想将云代码添加到新的 Parse 帐户,但每当我执行 Parse add 时,它会自动将我带到我拥有的 par
我想弄清楚如何覆盖 auth_views.logout 方法。通常我在覆盖类方法方面不会有问题,但是我意识到我正在尝试覆盖一个 View ,这可以在 Django 中做到吗? 我想覆盖 View 的原
我希望用户能够通过 HTTP 基本身份验证模式登录。 问题是我还希望他们能够再次注销 - 奇怪的是浏览器似乎不支持这一点。 这被认为是一种社交黑客风险 - 用户将其计算机解锁并打开浏览器,其他人可以轻
编写一个小代码 fragment ,其中 ParseUser 在满足某些条件后注销。有时它工作得很好,有时它会抛出如下所示的类转换期望 java.lang.classcastexception: or
有没有办法在页面首次加载时运行 FB.logout()?还是只有当用户点击它并触发它时才有可能?谢谢! 最佳答案 您不需要 jQuery,只需在您的 window.fbAsyncInit 函数中添加对
当我编写每个 C++ 程序时,例如那个程序: #include #include using namespace std; int main() { int n; cout > n
我使用 Django 函数进行登录,但它不显示我的模板。代码在这里: Views.py class Logout(View): #import pdb; pdb.set_trace()
我为我的 Spring Boot 应用程序实现了 JWT 身份验证。总的来说,它是这样工作的: 客户端将用户名、密码发送到登录端点。 服务器检查提供的凭据是否有效。 如果不是,它将返回一个错误 如果是
Laravel 自动授权讲解 看到这部分文档,经常看见的一句话就是php artisan make:auth,经常好奇这段代码到底干了什么,现在就来扒一扒。 路由 路由文件中会新加入以下内容:
我在我的应用程序中使用 AWS Cognito。 在注销时,我正在调用 Logout Endpoint . 但是在注销后,我仍然可以使用旧的刷新 token 生成 id-tokens。 这意味着我的注
我在服务器端有两种方法,如下所示: var Future = require("fibers/future"); Meteor.methods({ foo: function () {
我有一个使用默认 Lotus Notes http 登录的 Lotus Notes 应用程序。 在我们的开发者服务器上,Notes 有一个将登录请求发送到 names.nsf 的 html 表单 注
我是一名优秀的程序员,十分优秀!