发送未签名的 SAML 断言有哪些安全隐患?
What are the security implications of sending SAML assertions unsigned?
我对 SAML 了解不多,所以有人可以告诉我签署 SAML 断言的目的是什么,以及不签署它们的安全隐患是什么。
如果其中没有签名,则无法验证您收到的 SAML 响应是否确实来自预期的发件人。它可能来自其他人说“我是超级管理员并且拥有所有权限,让我进入”。你会盲目地相信他们。
我对 SAML 了解不多,所以有人可以告诉我签署 SAML 断言的目的是什么,以及不签署它们的安全隐患是什么。
如果其中没有签名,则无法验证您收到的 SAML 响应是否确实来自预期的发件人。它可能来自其他人说“我是超级管理员并且拥有所有权限,让我进入”。你会盲目地相信他们。