saml 数字签名校验

最新推荐文章于 2025-06-09 15:12:41 发布
最新推荐文章于 2025-06-09 15:12:41 发布
阅读量1.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sping_/article/details/84228644
private String publicKey;
44. private String privateKey;
45.
46. @Before
47. public void setUp() throws Exception {
48. Map<String, Object> keyMap = RSACoder.initKey();
49.
50. publicKey = RSACoder.getPublicKey(keyMap);
51. privateKey = RSACoder.getPrivateKey(keyMap);
52. System.err.println("公钥: \n\r" + publicKey);
53. System.err.println("私钥: \n\r" + privateKey);
54. }
55.
56. @Test
57. public void test() throws Exception {
58. System.err.println("公钥加密——私钥解密");
59. String inputStr = "abc";
60. byte[] data = inputStr.getBytes();
61. byte[] encodedData = RSACoder.encryptByPublicKey(data, publicKey);
62. byte[] decodedData = RSACoder.decryptByPrivateKey(encodedData, privateKey);
63.
64. String outputStr = new String(decodedData);
65. System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr);
66. assertEquals(inputStr, outputStr);
67.
68. }
69.
70. @Test
71. public void testSign() throws Exception {
72. System.err.println("私钥加密——公钥解密");
73. String inputStr = "sign";
74. byte[] data = inputStr.getBytes();
75. byte[] encodedData = RSACoder.encryptByPrivateKey(data, privateKey);
76. byte[] decodedData = RSACoder.decryptByPublicKey(encodedData, publicKey);
77.
78. String outputStr = new String(decodedData);
79. System.err.println("加密前: " + inputStr + "\n\r" + "解密后: " + outputStr);
80. assertEquals(inputStr, outputStr);
81.
82. System.err.println("私钥签名——公钥验证签名");
83. // 产生签名
84. String sign = RSACoder.sign(encodedData, privateKey);
85. System.err.println("签名:\r" + sign);
86.
87. // 验证签名
88. boolean status = RSACoder.verify(encodedData, publicKey, sign);
89. System.err.println("状态:\r" + status);
90. assertTrue(status);
91.
92. }
93.
94.}
95.
96.abstract class RSACoder extends Coder {
97. public static final String KEY_ALGORITHM = "RSA";
98. public static final String SIGNATURE_ALGORITHM = "MD5withRSA";
99.
100. private static final String PUBLIC_KEY = "RSAPublicKey";
101. private static final String PRIVATE_KEY = "RSAPrivateKey";
102.
103. /**
104. * 用私钥对信息生成数字签名
105. *
106. * @param data
107. * 加密数据
108. * @param privateKey
109. * 私钥
110. *
111. * @return
112. * @throws Exception
113. */
114. public static String sign(byte[] data, String privateKey) throws Exception {
115. // 解密由base64编码的私钥
116. byte[] keyBytes = decryptBASE64(privateKey);
117.
118. // 构造PKCS8EncodedKeySpec对象
119. PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
120.
121. // KEY_ALGORITHM 指定的加密算法
122. KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
123.
124. // 取私钥匙对象
125. PrivateKey priKey = keyFactory.generatePrivate(pkcs8KeySpec);
126.
127. // 用私钥对信息生成数字签名
128. Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
129. signature.initSign(priKey);
130. signature.update(data);
131.
132. return encryptBASE64(signature.sign());
133. }
134.
135. /**
136. * 校验数字签名
137. *
138. * @param data
139. * 加密数据
140. * @param publicKey
141. * 公钥
142. * @param sign
143. * 数字签名
144. *
145. * @return 校验成功返回true 失败返回false
146. * @throws Exception
147. *
148. */
149. public static boolean verify(byte[] data, String publicKey, String sign)
150. throws Exception {
151.
152. // 解密由base64编码的公钥
153. byte[] keyBytes = decryptBASE64(publicKey);
154.
155. // 构造X509EncodedKeySpec对象
156. X509EncodedKeySpec keySpec = new X509EncodedKeySpec(keyBytes);
157.
158. // KEY_ALGORITHM 指定的加密算法
159. KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
160.
161. // 取公钥匙对象
162. PublicKey pubKey = keyFactory.generatePublic(keySpec);
163.
164. Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM);
165. signature.initVerify(pubKey);
166. signature.update(data);
167.
168. // 验证签名是否正常
169. return signature.verify(decryptBASE64(sign));
170. }
171.
172. /**
173. * 解密<br>
174. * 用私钥解密 http://www.5a520.cn http://www.feng123.com
175. *
176. * @param data
177. * @param key
178. * @return
179. * @throws Exception
180. */
181. public static byte[] decryptByPrivateKey(byte[] data, String key)
182. throws Exception {
183. // 对密钥解密
184. byte[] keyBytes = decryptBASE64(key);
185.
186. // 取得私钥
187. PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
188. KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
189. Key privateKey = keyFactory.generatePrivate(pkcs8KeySpec);
190.
191. // 对数据解密
192. Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
193. cipher.init(Cipher.DECRYPT_MODE, privateKey);
194.
195. return cipher.doFinal(data);
196. }
197.
198. /**
199. * 解密<br>
200. * 用私钥解密
201. *
202. * @param data
203. * @param key
204. * @return
205. * @throws Exception
206. */
207. public static byte[] decryptByPublicKey(byte[] data, String key)
208. throws Exception {
209. // 对密钥解密
210. byte[] keyBytes = decryptBASE64(key);
211.
212. // 取得公钥
213. X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(keyBytes);
214. KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
215. Key publicKey = keyFactory.generatePublic(x509KeySpec);
216.
217. // 对数据解密
218. Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
219. cipher.init(Cipher.DECRYPT_MODE, publicKey);
220.
221. return cipher.doFinal(data);
222. }
223.
224. /**
225. * 加密<br>
226. * 用公钥加密
227. *
228. * @param data
229. * @param key
230. * @return
231. * @throws Exception
232. */
233. public static byte[] encryptByPublicKey(byte[] data, String key)
234. throws Exception {
235. // 对公钥解密
236. byte[] keyBytes = decryptBASE64(key);
237.
238. // 取得公钥
239. X509EncodedKeySpec x509KeySpec = new X509EncodedKeySpec(keyBytes);
240. KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
241. Key publicKey = keyFactory.generatePublic(x509KeySpec);
242.
243. // 对数据加密
244. Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
245. cipher.init(Cipher.ENCRYPT_MODE, publicKey);
246.
247. return cipher.doFinal(data);
248. }
249.
250. /**
251. * 加密<br>
252. * 用私钥加密
253. *
254. * @param data
255. * @param key
256. * @return
257. * @throws Exception
258. */
259. public static byte[] encryptByPrivateKey(byte[] data, String key)
260. throws Exception {
261. // 对密钥解密
262. byte[] keyBytes = decryptBASE64(key);
263.
264. // 取得私钥
265. PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
266. KeyFactory keyFactory = KeyFactory.getInstance(KEY_ALGORITHM);
267. Key privateKey = keyFactory.generatePrivate(pkcs8KeySpec);
268.
269. // 对数据加密
270. Cipher cipher = Cipher.getInstance(keyFactory.getAlgorithm());
271. cipher.init(Cipher.ENCRYPT_MODE, privateKey);
272.
273. return cipher.doFinal(data);
274. }
275.
276. /**
277. * 取得私钥
278. *
279. * @param keyMap
280. * @return
281. * @throws Exception
282. */
283. public static String getPrivateKey(Map<String, Object> keyMap)
284. throws Exception {
285. Key key = (Key) keyMap.get(PRIVATE_KEY);
286.
287. return encryptBASE64(key.getEncoded());
288. }
289.
290. /**
291. * 取得公钥
292. *
293. * @param keyMap
294. * @return
295. * @throws Exception
296. */
297. public static String getPublicKey(Map<String, Object> keyMap)
298. throws Exception {
299. Key key = (Key) keyMap.get(PUBLIC_KEY);
300.
301. return encryptBASE64(key.getEncoded());
302. }
303.
304. /**
305. * 初始化密钥
306. *
307. * @return
308. * @throws Exception
309. */
310. public static Map<String, Object> initKey() throws Exception {
311. KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM);
312. keyPairGen.initialize(1024);
313.
314. KeyPair keyPair = keyPairGen.generateKeyPair();
315.
316. // 公钥
317. RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
318.
319. // 私钥
320. RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
321.
322. Map<String, Object> keyMap = new HashMap<String, Object>(2);
323.
324. keyMap.put(PUBLIC_KEY, publicKey);
325. keyMap.put(PRIVATE_KEY, privateKey);
326. return keyMap;
327. }
328.}


示例2
【例:校验数字签名】

/**
* @(#) VerifySign.java
*/
import java.io.*;
import java.security.*;
import java.security.spec.*;
class VerifySign{
public static void main(String[] args){
if (args.length != 3){
System.out.println(
"Usage: VerifySign
");
System.out.println("Options:");
System.out.println(":The file name of the public key.");
System.out.println(": The file name that want to signature.");
System.out.println(": The file name containing signature data.");
System.out.println("Examples:");
System.out.println(" java Verifysign Publickey-my info.txt Sign-my");
System.exit(0);
}
try{
//从文件得到编码公钥字节
FileInputStream fileIn = new FileInputStream(args[0]);
//已编码的公钥字节
byte[] encodedpubkey = new byte[fileIn.available()];
fileIn.read(encodedpubkey);
fileIn.close();
//用编码公钥字节创建一个X509EncodedkeySpec对象
X509EncodedkeySpec pubkeySpec =
new X509ExcodedkeySpec(encodedpubkey);
//使用DSA算法创建一个keyFactory对象
keyFactory keyFactory = keyFactory.getInstance("DSA");
//用公钥规范生成一个公钥对象
PublicKey pubkey = keyFactory.generatePublic(pubkeySpec);
//从文件中得到数字签名
FileInputStream sigStream = new FileInputStream(args[2]);
Byte[] signature = new byte[sigStream.available()];
SigStream.read(signature);
SigStream.close();
//创建数字签名对象
Signature sigObj = Signature.getInstance("SHAlwithDSA");
//初始化Signature对象,以便用公钥检验
sigObj.initVerify(pubkey);
foleIn = new FoleInputStream(args[1]);
byte b;
while (fileIn.available() != 0){
b = (byte) fileIn.read();
sigObj.update(b);
};
fileIn.close();
Boolean verifies = sigObj.verify(signature);
System.out.puintln("sognature verifies:" + verifies);
}catch (Exception e) {System.err.puintln("" + e);
}
}
}
MDG 生产系统SAML2配置
weixin_42259447的博客
12-23 168
断言, SAML中的”A”,是整个SAML协议中出现的最多的字眼,我们可以将断言看作是一种判断,并且我们相信这种判断,因此,做出断言的一方必须被信赖。由于海信集团账户存在 15位以上字节长度的账户,SAP MDG 支持账户长度最高为12位, SAML2 自身功能并不能实现所有长度用户的映射,所以本次开启了 SAP Web GUI 用户别名的访问功能。算法选择SHA-256,单点登录需要签名的选项可以选择 “始终”,其他选项不做单独设定,点击“下一个”按钮。
多个SAML IDP签名密钥的重要性与数据安全
QoTypescript的博客
10-06 175
这种方法可以减少单点故障的风险,实现定期密钥轮换,并在某个密钥受到攻击时减轻潜在的安全事故后果。通过示例代码,我们展示了如何使用Java和OpenSAML库创建和签名SAML断言,以及如何应用多个IDP签名密钥来增强数据安全性。减轻后果:如果只使用一个IDP签名密钥,一旦该密钥被泄露或受到攻击,整个系统的安全性都将受到威胁。然而,如果使用多个密钥,即使其中一个密钥出现问题,其他密钥仍然可以保护系统的安全。每个IDP签名密钥都是唯一的,因此即使一个密钥被泄露或受到攻击,其他密钥仍然可以保护系统的安全。
samlsigtest:演示SAML响应解码和XML签名验证的简单项目
06-24
samsigtest 演示SAML响应解码和XML签名验证的简单项目
java saml_java – 验证SAML响应的签名
weixin_39979245的博客
02-20 1270
这是我的工作流程:我收到了SAML响应.我摆脱了签名信封,我将其标准化,检查摘要然后检查签名.我能够成功计算转换后的SAML响应的SHA1摘要并验证它.但是,RSA-SHA1签名检查仍然无法解决.我有这种方法来检查签名:public static boolean verifySignature(String signatureType, PublicKey publicKey, byte[] co...
OpenSAML2用户手册:SAML 2.0实现指南
最新发布
weixin_32999557的博客
06-09 801
在现代企业IT环境中,统一身份验证和授权机制是不可或缺的。安全断言标记语言(SAML)2.0是一种广泛采用的开放标准,用于在服务提供者和身份提供者之间交换认证和授权数据。本章将深入探讨SAML 2.0的基本概念、特点以及它在现代身份和访问管理(IAM)系统中的作用。SAML是一种基于XML的协议,它允许Web服务器、身份提供者和各种安全实体之间进行互操作,实现单点登录(SSO)。通过SAML,用户仅需进行一次认证,便可以在多个应用程序间无缝地访问资源,从而简化了用户操作并提高了效率。
sso saml_使用签名SAML断言实现身份提供者发起的SSO
cuxiong8996的博客
07-01 2691
随着越来越多的机构和组织在线提供服务和协作,员工需要访问内部部署和基于云的应用程序来进行日常工作。 这就要求实现单一登录(SSO)基础结构,使用户可以登录一次即可访问所有授权的内部和外部资源及应用程序。 具有大量Salesforce用户群的组织可以利用其现有的SSO基础结构将其实施到Force.com平台,该平台支持由外部SSO身份提供商提供的联合身份管理。 Force.com平台支持SSO的...
sso saml_使用签名SAML断言实现服务提供商发起的SSO
cuxiong8996的博客
07-01 3535
本教程系列的第3部分重点介绍了使用IBM®WebSphere DataPower(以下称为DataPower)作为身份提供者,并通过签名SAML断言来实现对Salesforce的服务提供者发起的单一登录(SSO)。 图1和图2代表了该解决方案的高层概述。 本教程没有概述第1部分中已经介绍过的Salesforce联合SSO的基础知识。 图1.服务提供商启动的SSO登录到Salesforce...
Java使用RSA加密解密签名校验
大伟
02-03 455
由于项目要用到非对称加密解密签名校验什么的,于是参考《Java加密解密的艺术》写一个RSA进行加密解密签名校验的Demo,代码很简单,特此分享! RSA加密解密类:   [java] view plaincopy   package com.ihep;      import java.io.BufferedReader;   import java.io....
saml断言_服务提供商使用加密并签名SAML断言启动单点登录
cuxiong8996的博客
07-01 6003
本教程系列的第4部分没有概述Salesforce联合单点登录(SSO)的基础。 本教程主要讨论如何使用由IBM®WebSphere DataPower(以下称为DataPower)作为身份提供者,由加密并签名SAML声明提供支持,将服务提供者发起的SSO实施到Salesforce。 图1和图2展示了该解决方案的高层概述。 图1.服务提供商启动的SSO登录到Salesforce的概述 ...
wss4j JAR包概述:SOAP消息签名校验工具
它定义了在SOAP消息中添加安全性信息(如数字签名和加密信息)的方法。WS-Security可以独立于传输层安全机制使用,比如SSL/TLS,提供端到端的安全性保证。 wss4j库就是围绕WS-Security标准设计的,它提供了以下关键...
CAS单点登录详解:原理、实现与数字签名保障
4. 数字签名的应用:数字签名在CAS中扮演着重要角色,它确保了通信的安全性和完整性。通过公钥加密技术,发送方使用私钥对信息摘要进行加密,接收方则使用发送方的公钥进行解密并验证。这防止了信息在传输过程中被...
SAML 流程讲解
热门推荐
sinat_33822516的博客
04-18 1万+
SAML(Security Assert Mark Language)常用来实现SSO。 本文主要梳理一下SAML的代码逻辑 术语讲解: IDP: Identity provider 在单点登陆中是指统一身份认证平台。 SP:Service Provider 在单点登陆中是指需要被认证的服务方。 Assert: 断言,是指IDP 认证用户后,发送认证结果给SP的一种形式...
Java实现RSA签名以及验签代码示例
qq_38799009的博客
07-15 5976
项目介绍 最近需要实现对接口的签名和加密,特此整理一下,方便以后查看。 使用的是RSA非对称加密,签名方法用的是RSA自带的。 签名原理,私钥签名,公钥验签 需要三个工具类:BASE64.java RSAEncrypt.java RSASignature.java 流程图如下(无证书情况) 如果第三方不想让接口提供方知道他们的私钥,可以让第三方自己生成公私钥,把公钥公开出来 验签得双方验证才行,就是说双方都得有自己的公私钥,传输过程带上自己的公钥去验证,但是这有个问题,这个公私钥
.NET使用Microsoft.IdentityModel.Tokens对SAML2.0登录断言校验
编程菜鸟
05-15 491
使用SAML单点登录对IDP返回的Response断言使用微软提供的Microsoft.IdentityModel.Tokens对断言(Assertion)进行校验。首先需要安装Muget包,Microsoft.IdentityModel.Tokens和Microsoft.IdentityModel.Tokens.Saml。也可以使用开源的saml库。比如AspNetSaml,ITfoxtec.Identity.Saml2以及Sustainsys.Saml2等。
SAML 标准如何提供单点登录服务
学海无涯苦作舟的博客
11-25 385
单点登录和零信任网络依赖于在用户、身份提供商和服务提供商之间安全地来回传递身份信息。SAML 是让这种情况发生的粘合剂。 不相信任何人 就像约翰·勒卡雷 (John Le Carré) 的《锅匠、裁缝、士兵、间谍》中的乔治·斯迈利 (George Smiley) 一样 ,你不应该相信任何人,而应该怀疑所有人。仅仅因为某人通过了身份验证,并且在您的网络范围内,这并不绝对意味着他们就是他们声称的那样。也不应该信任他们。 新兴的安全模型并不是关于高度保护的多层外围防御。身份是新的边界。 当用户在网络中移动、访问应
sso saml_身份提供者使用加密并签名SAML断言启动SSO
cuxiong8996的博客
07-01 3817
假设您已经阅读了本系列的第一篇文章 ,那么本教程(第2部分)将不会概述Salesforce联合单点登录(SSO)的基础知识。 本教程主要侧重于如何使用由身份验证提供者发起的SSO,使用IBM®WebSphere DataPower(以下称为DataPower)对Salesforce实施,该SSO由加密并签名SAML断言提供支持。 图1和图2展示了该解决方案的高层概述。 图1.身份提供商启...
RSA加密、解密、签名、验签的原理及方法
扛麻袋的少年的博客
04-24 6179
一、RSA加密简介   RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。通常个人保存私钥,公钥是公开的(可能同时多人持有)。 二、RSA加密、签名区别   加密和签名都是为了安全性考虑,但略有不同。常有人问加密和签名是用私钥还是公钥?其实都是对加密和签名的作用有所混淆。简单的说,加密是为了防
使用AD Gallery制作强大的相册画廊
VIII62755737的专栏
10-29 2844
AD Gallery是一个带缩略图导航浏览,可设置照片标题和备注说明信息的jQuery相册插件。该插件提供了许多可配置的参数和方法,具有很强的定制功能。 http://www.helloweba.com/view-blog-61.html 这个上面说的详细,就是插件常用参数一览表不够详细我所以我就只说明一下这个参数表吧 AD Gallery插件常用参数一览表 参数 描述 默
密码技术学习(7.2)-在Java中的使用数字签名算法
laozhaishaozuo的专栏
08-24 484
文章目录 RSA(经典数字签名算法) RSASignCoder RSASignCoderTest DSA(数字签名标准算法) DSACoder DSACoderTest ECDSA(椭圆曲线数字签名算法) ECDSACoder ECDSACoderTest 参考资料 本系列其他文章 RSA(经典数字签名算法) RSA数字签名算法主要可分为MD系列和SHA系列两大类。MD系...
SAML协议
03-13
<think>好的,用户之前让我介绍了OAuth 2.0,现在又要求介绍SAML协议。我需要先确定用户的需求。可能用户是在学习身份验证和授权相关的协议,或者是需要为项目选择合适的安全方案。用户可能对OAuth和SAML的区别不太清楚,所以需要对比两者的不同,或者用户想深入了解SAML的具体细节。 首先,我应该回忆SAML的基本概念,核心组成部分,以及它的应用场景。SAML是基于XML的标准,主要用于单点登录(SSO),这一点和OAuth不同,OAuth主要用于授权,而SAML侧重身份认证。需要明确两者的区别,避免用户混淆。 接下来,用户可能需要了解SAML的工作流程,比如SP和IdP的角色,以及断言(Assertion)的类型。这里需要结构清晰,分步骤解释。同时,用户可能关心SAML的安全性,比如签名和加密机制,以及常见的漏洞和防护措施。 另外,用户可能想了解SAML的实际应用案例,比如企业内部的SSO系统,或者与OAuth的联合使用场景。这时候举一些例子会有帮助,比如使用SAML的公司或服务。 还需要注意用户的技术背景。如果用户是开发人员,可能需要更详细的技术细节,比如XML结构、绑定方式(HTTP POST/Redirect)。如果是管理人员,可能更关注应用场景和优势。 在回答结构上,可以按照核心概念、工作流程、安全机制、与OAuth的对比、应用案例和常见问题来组织。同时,使用之前用户接受的格式,比如分点、代码块、公式等,保持一致性。 需要检查是否有遗漏的关键点,比如SAML的版本差异(2.0是最常用的),或者与其他协议如OpenID Connect的关系。另外,可能用户会问到SAML的优缺点,比如XML的复杂性是否影响性能,或者在现代应用中的使用情况。 最后,确保语言简洁明了,避免过于技术化的术语,但必要时给出解释。保持回答的深度,但不过于冗长,帮助用户全面理解SAML协议。</think>$$SAML\ 协议框架$$ **SAML**(Security Assertion Markup Language)是一种基于**XML**的开放标准,专为实现跨域**单点登录(SSO)**和身份联合而设计。以下是深度解析: --- ### 一、核心目标与特性 1. **核心问题解决** $$ \exists \text{多系统} \Rightarrow \text{用户需重复登录} \Rightarrow \text{SAML提供:} \forall \text{系统} \Rightarrow \text{一次认证} $$ - 实现**身份提供者(IdP)**与**服务提供者(SP)**间的信任传递 2. **关键特性** ```markdown - XML数据格式(SAML 2.0为主流) - 支持HTTP POST/Redirect绑定 - 强依赖数字签名(防篡改) - 适用于企业级SSO(如Office 365登录) ``` --- ### 二、协议角色定义 1. **三大参与方** $$ \begin{cases} \text{主体 (Principal)} & \text{(用户)} \\ \text{身份提供者 (Identity Provider, IdP)} & \text{(如AD FS)} \\ \text{服务提供者 (Service Provider, SP)} & \text{(如Salesforce)} \end{cases} $$ 2. **断言(Assertion)结构** ```xml <!-- SAML断言示例 --> <saml:Assertion ID="_a75ad..." IssueInstant="2023-08-20T09:30:00Z"> <saml:Issuer>https://idp.example.com</saml:Issuer> <saml:Subject> <saml:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">user@example.com</saml:NameID> </saml:Subject> <saml:Conditions NotBefore="2023-08-20T09:30:00Z" NotOnOrAfter="2023-08-20T09:35:00Z"/> <saml:AuthnStatement AuthnInstant="2023-08-20T09:28:00Z"> <saml:AuthnContext> <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml:AuthnContextClassRef> </saml:AuthnContext> </saml:AuthnStatement> </saml:Assertion> ``` - **断言类型**:认证声明、属性声明、授权决策 --- ### 三、标准交互流程(Web SSO) ```mermaid sequenceDiagram participant User as 用户 participant SP as 服务提供者 participant IdP as 身份提供者 User->>SP: 请求访问资源 SP->>User: 生成SAML请求 + 重定向到IdP User->>IdP: 提交认证(如AD凭证) IdP->>User: 生成SAML响应(含签名断言) User->>SP: 提交SAML响应 SP->>SP: 验证签名/时效性/颁发会话Cookie SP->>User: 授权访问资源 ``` --- ### 四、关键安全机制 1. **XML数字签名** - 签名流程: $$ \text{断言哈希} \rightarrow \text{私钥加密} \rightarrow \text{XML签名块} $$ ```xml <ds:Signature> <ds:SignedInfo>...</ds:SignedInfo> <ds:SignatureValue>MEUCIQD...</ds:SignatureValue> <ds:KeyInfo><ds:X509Data>...</ds:X509Data></ds:KeyInfo> </ds:Signature> ``` 2. **防御措施** ```markdown - 强制HTTPS传输 - 断言时效控制(NotBefore/NotOnOrAfter) - 防范重放攻击(ID唯一性校验) - SP严格验证IdP证书链 ``` --- ### 五、与OAuth 2.0对比 | 维度 | SAML 2.0 | OAuth 2.0 | |--------------------|-----------------------------------|-------------------------------------| | **核心目标** | 身份认证与SSO | 资源访问授权 | | **数据格式** | XML | JSON | | **传输协议** | 基于HTTP/SOAP | 基于HTTPS/RESTful | | **典型场景** | 企业内网SSO | 移动应用/API授权 | | **令牌类型** | SAML断言(长期有效) | Access Token(短期) | | **现代扩展** | SAML+WS-Federation | OpenID Connect | > **联合使用案例**: > $$ \text{企业SSO} \Rightarrow \text{SAML认证} \rightarrow \text{OAuth授权API访问} $$ > 如:先用SAML登录Azure AD,再获取OAuth令牌调用Microsoft Graph API --- ### 六、典型应用场景 1. **企业级SSO** - 微软AD FS配置SAML: ```powershell # 创建信赖方信任 Add-ADFSRelyingPartyTrust -Name "Salesforce" -MetadataUrl "https://login.salesforce.com/.xml" ``` 2. **跨域身份联合** - 高校联盟登录系统(如InCommon Federation) - 政府机构间身份互认 3. **云服务集成** - AWS IAM SAML配置: ```json { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": {"Federated": "arn:aws:iam::123456789012:saml-provider/MySAMLProvider"}, "Action": "sts:AssumeRoleWithSAML", "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}} }] } ``` --- ### 七、常见漏洞与缓解 1. **XML签名包装攻击** - 攻击原理: $$ \exists \text{恶意XML} \land \text{有效签名} \Rightarrow \text{SP误解析错误节点} $$ - 防护方案: ```markdown - 启用严格XML解析(禁用外部实体) - 校验断言位置与签名范围一致性 ``` 2. **断言重放攻击** - 防御措施: $$ \forall \text{断言ID} \Rightarrow \text{记录} \land \text{时效检查} $$ 3. **证书管理风险** - 最佳实践: ```markdown - IdP私钥存储HSM中 - SP定期轮换信任证书 - 禁用SHA-1算法 ``` --- ### 八、协议演进与替代方案 1. **SAML 2.0局限** ```markdown - XML处理复杂度高 - 移动端支持较弱 - 无法直接用于REST API ``` 2. **现代替代方案** - **OpenID Connect**:基于OAuth 2.0的身份层 $$ \text{OIDC} \approx \text{JSON Web Token} + \text{标准化声明} $$ - **WS-Federation**:微软主导的SOAP方案 --- SAML仍广泛用于企业级SSO场景,但新系统设计建议优先评估OIDC。实施时需重点关注**XML安全解析**和**证书生命周期管理**,推荐使用经过审计的库(如Spring Security SAML、OneLogin工具包)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值