0 
>   <samlp:LogoutRequest ID="_36167d94-d868-4c04-aee3-8bbd4ed91317"
> Version="2.0" IssueInstant="2017-01-05T16:21:55.704Z"
> Destination="https://werain.me/"
> xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"><Issuer
> xmlns="urn:oasis:names:tc:SAML:2.0:assertion">urn:federation:MicrosoftOnline</Issuer><NameID
> Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
> xmlns="urn:oasis:names:tc:SAML:2.0:assertion">4948f6ce-4e3b-4538-b284-1461f9379b48</NameID><samlp:SessionIndex>_eafbb730-b590-0134-a918-00d202739c81</samlp:SessionIndex></samlp:LogoutRequest>

鉴于我的,注销请求看起来像这样。如果我必须验证注销请求,我是否必须构造看起来像这样的字符串(即原始字符串值)

SAMLRequest=<samlp:LogoutRequest ID="_36167d94-d868-4c04-aee3-8bbd4ed91317" ... </samlp:LogoutRequest>&SigAlg=http://www.w3.org/2000/09/xmldsig#rsa-sha1

然后验证上述字符串的签名还是encode应该SAMLRequestSigAlg

IE

SAMLRequest=Base64 encode value or raw logout request&SigAlg=http%3A%2F%2Fwww.w3.org%2F2000%2F09%2Fxmldsig%23rsa-sha1

这种混淆的原因是 SAML 规范说从这里提取

由构成 SAML 协议消息(不是 base64 编码版本)的原始、未编码 XML 的串联组成的字符串,

但是 OneSAML 使用 Base64 编码版本的请求(注销请求)创建签名。看看这里

不确定我必须用来验证签名的正确实现是什么。

注意:HTTP 重定向绑定。

4

1 回答 1

0

您的链接和报价与 HTTP 重定向绑定无关。

检查https://docs.oasis-open.org/security/saml/v2.0/saml-bindings-2.0-os.pdf的 3.4.4.1 部分

Onelogin 的 SAML 工具包按照标准实现签名。

例如,您可以看到 simpleSAMLphp 的实现以相同的方式在重定向绑定上构建签名: https ://github.com/simplesamlphp/saml2/blob/master/src/SAML2/HTTPRedirect.php#L22

或opensaml https://github.com/apigee/java-opensaml2/blob/master/src/main/java/org/opensaml/saml2/binding/encoding/HTTPRedirectDeflateEncoder.java#L162

您可以使用以下方式对 SAML 消息进行签名和验证: https ://www.samltool.com/online_tools.php

于 2017-01-06T22:54:21.243 回答