ner*_*rdn 19 encryption ssl sign saml x509
如果我使用我的私钥对其进行签名并通过SSL发送,是否有必要加密SAML请求?或者更好的做法是使用我的私钥对其进行签名,使用身份提供程序公钥对其进行加密并通过SSL进行传输?
dth*_*rpe 51
SAML断言查询/请求通常不包含太多私有数据,并且请求本身通常不会保留以供稍后使用,因此几乎不需要加密SAML请求本身.对其进行签名将允许接收方验证内容在传输过程中未被更改,并且通过SSL进行传输将在传输期间提供隐私.在这种情况下加密请求可能有点过头了.
然而,SAML断言响应是一种完全不同的动物.包含声明或声明的SAML响应可能包含私有数据.根据系统中如何使用这些断言,断言可以在不同方之间传递,其中一些断言具有密钥以解密内容(因为它们与SAML提供商具有信任关系),而另一些则不具有信任关系. .SAML断言可以存储在缓存中或数据库中,因此您实际上不知道将来会通过它们进行调查.
如果SAML响应包含声明和包含私有数据的断言,并且响应的接收者将无限期地保留SAML断言或通过您不信任的中间方传递SAML断言,那么是的,SAML断言应该无论是否通过SSL传输,都要加密并签署响应.加密是为了在数据到达SSL管道的另一端之后保护数据的隐私.
| 归档时间: |
|
| 查看次数: |
25191 次 |
| 最近记录: |