我想知道在公共(public) URL 上为 SAML 配置提供元数据与为 IdP 或 SP 提供元数据文件是否存在任何重大安全问题。元数据包括用于加密的公钥。
如果有任何安全问题,它们是什么?
最佳答案
不,将元数据作为公共(public)资源提供没有安全问题。
公钥通常会在元数据中提供用于验证签名(使用公钥,服务提供者 - 消费者 - 可以验证身份提供者发送的 SAML 响应没有被篡改)。
对于加密(在 SAML 中可选),服务提供者需要将其公钥发送给身份提供者。使用公钥,身份提供者将能够加密响应,并且只有服务提供者(使用私钥)才能解密它。
关于saml - 在公共(public) URL 上提供 SAML 元数据的安全问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38962290/