是否可以只解析 SAML 断言响应而不使用 IDP 进行身份验证?
Is it possible to just parse the SAML assertion response without authenticating with IDP?
我在验证 SAML 响应时遇到问题,它给出的摘要不匹配。尝试用证书的摘要值检查它,它显示了不同的值。我认为证书或 SAML 响应有问题,但是,我也想知道在 SP 级别没有身份验证是否也是一个令人担忧的原因,因为客户端不希望 IDP 返回响应,相反SAML 的标准设置所指示的内容。我意识到由于明显的安全问题,不应该有这种设置,但是,这是他们要求的设置...
如果 SAML 断言未正确签名,这是一个安全问题,您不应信任它。通过在不验证摘要的情况下信任它,您将向任何将 SAML 提交到您的 ACS URL 并通过身份验证的人开放自己。
我在验证 SAML 响应时遇到问题,它给出的摘要不匹配。尝试用证书的摘要值检查它,它显示了不同的值。我认为证书或 SAML 响应有问题,但是,我也想知道在 SP 级别没有身份验证是否也是一个令人担忧的原因,因为客户端不希望 IDP 返回响应,相反SAML 的标准设置所指示的内容。我意识到由于明显的安全问题,不应该有这种设置,但是,这是他们要求的设置...
如果 SAML 断言未正确签名,这是一个安全问题,您不应信任它。通过在不验证摘要的情况下信任它,您将向任何将 SAML 提交到您的 ACS URL 并通过身份验证的人开放自己。