注意到Saml2AuthnResponse Destionation是基于relyingParty.SingleSignOnDestination从“配置”(硬编码的relyingParties 数组)中检索到的。
我认为Destination应该基于AuthnRequest samlp:AuthnRequest->中设置的内容,如果从 中缺少它,则AssertionConsumerServiceURL使用relyingParty Destination可能作为后备AuthnRequest,但从我看到AuthnRequest的每个都包含 ACS URL。
还是有理由以这种方式实施它?
谢谢
仅重播已知 URL/域是安全性的一部分。因此,relyingParty.SingleSignOnDestination为每个依赖方配置 非常重要。
要获得动态响应 URL,您可以扩展代码以验证是否authnRequest.AssertionConsumerServiceUrl以relyingParty.SingleSignOnDestination.
例如,其中的值relyingParty.SingleSignOnDestination可能是“ https://somedomain.com ”,因此接受不同的值,authnRequest.AssertionConsumerServiceUrl例如“ https://somedomain.com/auth/AssertionConsumerService ”或“ https://somedomain.com/acs ”