single-sign-on - 我如何才能相信 SiteMinder HTTP header 没有被篡改？

Question

一般来说，我对 SiteMinder 和 SSO 完全陌生。我整个下午都在 SO 和 CA 的网站上四处寻找一个基本示例，但找不到。我不关心设置或编程 SM 或类似的东西。所有这些都已经由其他人完成。我只想调整我的 JS Web 应用程序以使用 SM 进行身份验证。

我知道 SM 将添加一个带有诸如 SM_USER 之类的键的 HTTP header ，它会告诉我用户是谁。我没有得到的是 - 是什么阻止任何人自己添加此 header 并完全绕过 SM？我必须在我的服务器端代码中输入什么来验证 SM_USER 是否真的来自 SM？我想涉及到安全cookie...

Answer 1

SM网络代理安装在 Web 服务器上的目的是拦截所有流量并检查资源请求是否...

受 SiteMinder

保护

如果用户拥有有效的 SMSESSION(即已通过身份验证)

如果 1 和 2 为真，那么 WA 会检查 Siteminder 策略服务器以查看用户是否被授权访问所请求的资源。

为确保您没有用户信息的 HTTP header 注入(inject)，SiteMinder WebAgent 将重写所有 SiteMinder 特定的 HTTP header 信息。本质上，这意味着您可以“信任” SM_ WebAgent 提供的有关用户的信息，因为它是由服务器上的 Web 代理创建的，而不是传入请求的一部分。