Question

Проверка подлинности на основе SAML sp имеет следующий короткий рабочий процесс.

Пользователь хочет получить доступ к приложению на SP.
sp отправляет токен SAMLRequest на idp.
idp использует его и генерирует токен SAMLResponse.
idp отправляет этот токен SAMLResponse на AC-URL, указанный в sp.

Мой вопрос заключается в том, как sp использует этот токен SAMLResponse. В чем логика? Если я смогу получить помощь с кодом JAVA, это будет полезно.

Gaucho · Answer 1 · 31 января 2012

У меня работает следующий рецепт:

Получите токен SAMLResponse, расшифруйте его и надуйте:

// Base64 decode
Base64 base64Decoder = new Base64();
byte[] xmlBytes = encodedXmlString.getBytes("UTF-8");
byte[] base64DecodedByteArray = base64Decoder.decode(xmlBytes);

// Inflate (uncompress) the AuthnRequest data
// First attempt to unzip the byte array according to DEFLATE (rfc 1951)

Inflater inflater = new Inflater(true);
inflater.setInput(base64DecodedByteArray);
// since we are decompressing, it's impossible to know how much space we
// might need; hopefully this number is suitably big
byte[] xmlMessageBytes = new byte[5000];
int resultLength = inflater.inflate(xmlMessageBytes);

if (!inflater.finished()) {
    throw new RuntimeException("didn't allocate enough space to hold "
            + "decompressed data");
}

inflater.end();

String decodedResponse = new String(xmlMessageBytes, 0, resultLength,
        "UTF-8");

return decodedResponse;

Разобратьрезультирующий XML.Здесь вы можете получить необходимую информацию и, например, создать с ней POJO (это пример кода для разбора LogoutRequest, но он будет аналогичным для ответов):

// Parse the XML. SAX approach, we just need the ID attribute
SAXParserFactory saxParserFactory = SAXParserFactory.newInstance();

// If we want to validate the doc we need to load the DTD
// saxParserFactory.setValidating(true);

// Get a SAXParser instance
SAXParser saxParser = saxParserFactory.newSAXParser();

// Parse it
XMLhandler xmLhandler = new XMLhandler();
saxParser.parse(new ByteArrayInputStream(xmlLogoutRequest.getBytes()),
        xmLhandler);

// Return the SamlVO
return xmLhandler.getSamlVO();

Для моего случая использования меня интересуют только несколько элементов, поэтому я использую SAX :

public class XMLhandler extends DefaultHandler {

    private SamlVO samlVO;

    public XMLhandler() {
        samlVO = new SamlVO();
    }

    @Override
    public void startElement(String uri, String localName, String qName,
        Attributes attributes) throws SAXException {

        // Managing a LogoutRequest means that we are going to build a LogoutResponse
        if (qName.equals("samlp:LogoutRequest")) {
            // The ID value of a request will be the LogoutResponse's InReponseTo attribute 
            samlVO.setInResponseTo(attributes.getValue("ID"));
            // From the destination we can get the Issuer element
            String destination = attributes.getValue("Destination");
            if (destination != null) {
                URL destinationUrl = null;
                try {
                    destinationUrl = new URL(destination);
                } catch (MalformedURLException e) {
                     // TODO: We could set the server hostname (take it from a property), but this URL SHOULD be well formed!
                     e.printStackTrace();
                }
                samlVO.setIssuer(destinationUrl.getHost());
            }
        }   
    }

    public SamlVO getSamlVO() {
        return samlVO;
    }

}

Надеюсь, это поможет,

Luis

PS: вы также можете использовать такую библиотеку, как OpenSAML

DefaultBootstrap.bootstrap();

HTTPRedirectDeflateDecoder decode = new HTTPRedirectDeflateDecoder(new BasicParserPool());
BasicSAMLMessageContext<LogoutRequest, ?, ?> messageContext = new BasicSAMLMessageContext<LogoutRequest, SAMLObject, SAMLObject>();
messageContext.setInboundMessageTransport(new HttpServletRequestAdapter(request));
decode.decode(messageContext);
XMLObjectBuilderFactory builderFactory = org.opensaml.Configuration.getBuilderFactory();
LogoutRequestBuilder logoutRequestBuilder = (LogoutRequestBuilder) builderFactory.getBuilder(LogoutRequest.DEFAULT_ELEMENT_NAME);
LogoutRequest logoutRequest = logoutRequestBuilder.buildObject();
logoutRequest = (LogoutRequest) messageContext.getInboundMessage();

Но будьте готовы включить несколько библиотек в ваш CLASSPATH !!!

codebrane · Answer 2 · 14 июля 2011

Вот как я это делаю на Java.Я использую XMLBeans для анализа SAMLResponse, затем расшифровываю его (если он зашифрован) и затем проверяю подпись:

WebBrowserSSOAuthConsumerService

JST · Answer 3 · 13 июля 2011

Запрашивать код немного дороже, но основная обработка заключается в том, что SP проверяет SAMLResponse, в том числе на предмет корректности, наличия требуемых значений, правильного протокола и любой другой специфичной для SP проверки (ограничения по времени, соответствие данных и т. д.), сопоставляет пользователя, идентифицированного в токене, с пользователем на SP (может включать создание пользователя) и передает пользователя на запрошенный ресурс.

Потреблять SAMLResponse токен

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Потреблять SAMLResponse токен

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы