如何使用 SAML2 在 IDP 发起的 SSO 中防止重放攻击
How to prevent replay attack in IDP initiated SSO using SAML2
在 IDP 发起的 SSO 中,来自 IDP 的 SAML 响应可能容易受到重放攻击。由于 SP 在收到响应之前不知道 IDP 发起的会话,因此有哪些可能的方法来保护重放攻击?
SP 应在断言的生命周期内保留已接受断言的 ID 列表,以防止重放。
然后重新更改 ID - 使用正确签名的 assertion/response 是不可能的。中间人无法改变任何事情。如果可以更改,那么您遇到的问题比重播要大得多。
在 IDP 发起的 SSO 中,来自 IDP 的 SAML 响应可能容易受到重放攻击。由于 SP 在收到响应之前不知道 IDP 发起的会话,因此有哪些可能的方法来保护重放攻击?
SP 应在断言的生命周期内保留已接受断言的 ID 列表,以防止重放。
然后重新更改 ID - 使用正确签名的 assertion/response 是不可能的。中间人无法改变任何事情。如果可以更改,那么您遇到的问题比重播要大得多。