Question

Я использую набор инструментов php-saml https://github.com/onelogin/php-saml для реализации единого входа в веб-приложении. Аутентификация сама по себе работает, но когда я проверяю с перехватывающим прокси https://portswigger.net/burp/communitydownload, токен saml появляется в открытом виде (как xml, с именем пользователя вместе со всей информацией, передаваемой для аутентификации). В разъеме и настройке https://github.com/onelogin/php-saml/blob/master/settings_example.php я установил сертификат (в idp / x509cert)

Я не уверен, если наличие certFingerprint имеет значение, я пробовал с и без, и маркер saml в обоих случаях ясен.

Возможно ли зашифровать этот ответ saml? он все еще подписан, поэтому его нельзя изменить, но наличие данных в чистом виде для меня все еще проблема

niall_atlasidentity · Answer 1 · 15 апреля 2019

Вы действительно можете зашифровать ответ SAML, и он должен быть настроен администратором Onelogin для вашего приложения.Шифрование ответа (или утверждения) смягчается с помощью TLS, поскольку вы уже зашифрованы на транспортном уровне, и большинство приложений, которые я вижу, не шифруют ответ или утверждение, но при необходимости оно доступно в Onelogin.

зашифрованный токен SAML

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

зашифрованный токен SAML

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы