SAMLRequest 中是否包含任何机密信息?
Is there any confidential information held in a SAMLRequest?
我需要特别注意不要泄露 SAMLRequest 吗?我的直觉告诉我不,因为这只是请求...但我想确定一下。
SAML 请求不包含任何 sensitive/confidential 信息。它仅包含有关 SP url 和中继状态信息的信息。
签名的 SAML 请求将另外包含散列签名值以及 SP 的 public 密钥。
SAML 请求通常不包含任何机密信息。但它可以在 <saml:Subject> 元素中包含用户的身份。根据上下文可以说是机密。
还有一个选项可以包含响应 return 位置 - 在 SAML2 术语中称为 "Assertion Consumer Service" 或 ACS。这只是应用程序的 URL,因此它不是机密的(除非有人在 URL 中对机密信息进行编码,但为什么呢?)。但是,要确保响应不会发送给其他人,使用来自 AuthnRequest 的动态 ACS 需要 AuthnRequest 受签名保护。
我需要特别注意不要泄露 SAMLRequest 吗?我的直觉告诉我不,因为这只是请求...但我想确定一下。
SAML 请求不包含任何 sensitive/confidential 信息。它仅包含有关 SP url 和中继状态信息的信息。
签名的 SAML 请求将另外包含散列签名值以及 SP 的 public 密钥。
SAML 请求通常不包含任何机密信息。但它可以在 <saml:Subject> 元素中包含用户的身份。根据上下文可以说是机密。
还有一个选项可以包含响应 return 位置 - 在 SAML2 术语中称为 "Assertion Consumer Service" 或 ACS。这只是应用程序的 URL,因此它不是机密的(除非有人在 URL 中对机密信息进行编码,但为什么呢?)。但是,要确保响应不会发送给其他人,使用来自 AuthnRequest 的动态 ACS 需要 AuthnRequest 受签名保护。