nhy*_*yne 3 saml saml-2.0
我想知道在公共URL上为SAML配置提供元数据与向IdP或SP提供元数据文件是否存在任何重大安全问题.元数据包括用于加密的公钥.
如果有任何安全问题,他们是什么?
Nic*_*ena 6
不,将元数据作为公共资源提供没有安全问题.
通常在元数据中提供公钥以验证签名(使用公钥,服务提供者 - 消费者 - 可以验证身份提供者发送的SAML响应是否未被篡改).
对于加密(SAML中是可选的),服务提供商需要将其公钥发送给身份提供者.使用公钥,身份提供者将能够加密响应,并且只有服务提供者(使用私钥)才能解密它.
归档时间:
9 年,6 月 前
查看次数:
1155 次
最近记录: