- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我们在 Java 应用程序中使用 Spring Security SAML
(v1.0.3) 来通过 IDP 实现 SAML SSO。
要求:仅接受来自 IDP 的签名 SAML 响应消息,如果 SAML 响应未签名,则抛出异常。
实际结果:即使 SAML 登录响应消息中完全缺少签名信息,它也会被接受,并且 Spring Security SAML 库不会引发异常。
观察结果:
requireLogoutRequestSigned
和 requireLogoutResponseSigned
属性,用于控制是否对注销请求和响应进行签名。wantAssertionSigned
,用于指示 SP 是否需要签名断言。问题:
Spring Security SAML
框架中是否有任何属性或方法使 SP 只能接受来自 IDP 的签名登录响应(在消息级别)?wantAssertionSigned
仅启用签名断言,而不启用消息。最佳答案
首先,确保使用正确的绑定(bind)来允许签名响应。例如,如果我正确理解所写的内容,重定向绑定(bind)不应在响应本身中具有签名 here, lines 578-582
“SAML 协议(protocol)消息上的任何签名,包括 XML 元素本身,必须删除。请注意,如果消息内容包含其他签名,例如签名的 SAML 断言,此嵌入签名不会被删除。然而,这样的长度编码后的消息本质上排除了使用这种机制。因此SAML协议(protocol)包含签名内容的消息不应使用此机制进行编码。”
至于我最近从事的一个项目中使用的 HTTP Post 绑定(bind),在同一个(如上所述)文档的第 839-842 行中指出:“用户代理中介的存在意味着请求者和响应者不能依赖传输层用于端到端身份验证、完整性或 secret 性保护,并且必须对而是收到消息。 SAML 为协议(protocol)消息提供签名以进行身份验证和此类案件的诚信度。表单编码消息可以在应用 Base64 编码之前进行签名。”
基于此,我们决定强制所有由 HTTP Post 绑定(bind)处理的响应消息都必须进行签名。我们保留其他绑定(bind)完好无损。
为了实现这一点,我对现有 spring 的 HTTPPostBinding 进行了子类化。然后,我指示 spring 提供的 SAMLProcessorImpl 使用此绑定(bind)而不是默认绑定(bind)。此自定义绑定(bind)实现添加了一个额外的 opensaml 的 SecurityPolicyRule。至于该规则,实现非常简单,强制对所有 SAML 消息进行签名。签名验证留给已经存在的 opensaml 的 SAMLProtocolMessageXMLSignatureSecurityPolicyRule。默认情况下,此选项包含在默认的 HTTPPostBinding 中,并且默认情况下也允许缺少签名。如果您决定实现自己的安全策略规则,这可能是一个很好的起点。
至于断言签名,我认为默认实现也存在问题,但这可能超出了您的问题范围。
希望这有帮助,干杯。
关于java - Spring 安全 SAML : Accept only signed SAML response messages from IDP,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51754023/
我有一个包含以下内容的简单服务: import { Injectable } from '@angular/core'; import { Http, Response } from '@angula
在我的 Angular-12 应用程序中,我在服务中有以下代码: constructor(private http: HttpClient, private router: Router) {
我是android领域的新手,我想从响应json数组访问每个结果元素,但我无法做到这一点,我试图获取每个元素,但我只得到一个值“rohit1”是第一个元素。请帮助我。 我是 rohit parmar,
我正在用 java 编写 RESTful 服务,但是当我尝试使用 Resource 类时,显示以下错误:类型 Response.Response 构建器不可见。我不明白问题可能是什么,因为我已经导入了
在 Spring 应用程序中,我正在调用第三方服务,我正在发送 XML 请求并获取 XML 响应,当无法将该响应解析为 Java 对象时,我正确地获得了 XML 响应,我收到以下错误: org.spr
我正在发布一个页面 URL 例如 mysite.com/disclaimer/someinfo 此页面显示协议(protocol),如果用户单击同意按钮,则 PDF 文件将作为附件流式传输。 这样做的
我是 Camel 的新手。我一直在尝试将数据(文件中的 Json)提交到网络服务。这是我的代码: public static void main(String args[]) throws E
我有一个 HTTP 执行器类: Future future = service.apply(request).toJavaFuture(); 现在我想删除 ? extends其中的一部分,因为我不想让
我想将我所有的 http header 响应设置为这样的: response.headers["X-Frame-Options"] = "SAMEORIGIN" 我检查了this question ,
我们有两个 channel ,分别是 channelA 和 channelB。 在 channel A中我们有两个目的地 一个。第一个目的地将使用 XML 数据作为输入调用 channelB,并从 c
以下有什么区别 response.status(200).send('Hello World!'); 和这个 response.writeHead(200, {'content-type':'appl
我试图让Foundation在iPhone的浏览器上响应。我已经在手机上尝试过Safari和Chrome,它们都显示了 table 面布局。 但是,在 table 面上,如果缩小浏览器窗口,则会看到布
您好,当我在云代码中运行此作业时,我收到一条错误日志:Failed with: success/error was not called. 定义功能运行良好,但在作业日志中我有此错误日志。请协助我解决
我正在使用ozeki ng短信网关。我无法将任何短信发送到任何手机。请帮助我通过网络发送短信到手机 从客户端检测到一个潜在危险的Request.Form值(textboxError =“。设置此值之后
今天我在 WordPress 中遇到了问题。当我尝试创建一个新页面并在 WordPress 管理部分上传新图像时,我尝试找出解决方案,但我没有得到它......所以经过一个小时的打磨后我得到了一个解决
我过去常常通过刷新和结束来结束对客户端的传输,如下面的代码所示。 Response.Flush(); Response.End(); 但是,Response.End() 将缓冲内容刷新到客户端让我印象
我正在编写一个在单击按钮时显示对话框窗口的函数:这里是与状态和 statusCode 相关的代码段。 if(response.status>300){
从资源清理的角度,为什么会有Response.Close()和Response.Dispose(),哪个更全面(调用另一个)? 最佳答案 在提供这两种方法的情况下,Dispose 的实现应该调用 Cl
在我注意到我的代码可能在以经典模式设置的服务器上运行之前,我一直在使用 Response.Header.Add()。在这种情况下,异常“此操作需要 IIS 集成管道模式”。被提出。 我切换到 Resp
Response.End() 生成 ThreadAbortException。 使用 HttpContext.Current.ApplicationInstance.CompleteRequest 代
我是一名优秀的程序员,十分优秀!