加密的 SAML 令牌
encrypted SAML token
我正在使用 php-saml 工具包 https://github.com/onelogin/php-saml to implement an SSO in a web application. The authentication in itself works but when i check with an intercepting proxy https://portswigger.net/burp/communitydownload the saml token appears in clear (as xml, with the username along with all information passed for authentication). In the connector and the setting https://github.com/onelogin/php-saml/blob/master/settings_example.php 我已经设置了证书(在 idp/x509cert 中)
我不确定 certFingerprint 的存在是否会有所不同,我尝试了有和没有,两种情况下 saml 令牌都是清晰的。
是否可以加密此 saml 响应?它仍然是签名的,所以不能更改,但是清楚地显示这些数据对我来说仍然是个问题
您确实可以对 SAML 响应进行加密,并且需要由您的 Onelogin 管理员为您的应用程序进行设置。加密响应(或断言)可以通过使用 TLS 来缓解,因为您已经在传输层加密,并且我看到的大多数应用程序不加密响应或断言,但它可用如果需要,在 Onelogin 中。
我正在使用 php-saml 工具包 https://github.com/onelogin/php-saml to implement an SSO in a web application. The authentication in itself works but when i check with an intercepting proxy https://portswigger.net/burp/communitydownload the saml token appears in clear (as xml, with the username along with all information passed for authentication). In the connector and the setting https://github.com/onelogin/php-saml/blob/master/settings_example.php 我已经设置了证书(在 idp/x509cert 中)
我不确定 certFingerprint 的存在是否会有所不同,我尝试了有和没有,两种情况下 saml 令牌都是清晰的。
是否可以加密此 saml 响应?它仍然是签名的,所以不能更改,但是清楚地显示这些数据对我来说仍然是个问题
您确实可以对 SAML 响应进行加密,并且需要由您的 Onelogin 管理员为您的应用程序进行设置。加密响应(或断言)可以通过使用 TLS 来缓解,因为您已经在传输层加密,并且我看到的大多数应用程序不加密响应或断言,但它可用如果需要,在 Onelogin 中。