0

如 OASIS 安全断言标记语言 (SAML)V2.0 的配置文件 ( https://docs.oasis-open.org/security/saml/v2.0/saml-profiles-2.0-os.pdf ) 第 4.1 章所述。 4.5 服务提供者必须通过在断言未过期期间为已处理的断言保留缓存来防止重放攻击。

我知道 OpenSAML 通过提供安全策略和针对重放的缓存实现来支持防止重放攻击,但是我在 Spring SAML 的任何地方都找不到这些实现的用法。我希望 WebSSOProfileConsumer 能够提供这样的功能。谁能指出我在哪里(如果有的话)可以找到这种行为的正确方向?

4

1 回答 1

0

我在 Spring SAML 中没有看到任何开箱即用的东西。我们需要从应用程序中完成。需要通过存储断言的 id 并检查新断言是否具有相同的 id 来防止重放攻击。您可以使用获取 ID

org.opensaml.saml2.core.Assertion.getID();
于 2020-06-12T12:02:16.543 回答