Security 如何在使用SAML2的IDP发起的SSO中防止重放攻击
在IDP发起的SSO中,来自IDP的SAML响应可能容易受到重播攻击。由于SP在收到响应之前不知道IDP发起的会话,因此有哪些可能的方法来保护重播攻击 SP应该在断言的生命周期内保留一个已接受断言的ID列表,以防止重播Security 如何在使用SAML2的IDP发起的SSO中防止重放攻击,security,single-sign-on,saml,saml-2.0,Security,Single Sign On,Saml,Saml 2.0,在IDP发起的SSO中,来自IDP的SAML响应可能容易受到重播攻击。由于SP在收到响应之前不知道IDP发起的会话,因此有哪些可能的方法来保护重播攻击 SP应该在断言的生命周期内保留一个已接受断言的ID列表,以防止重播 并重新更改ID—这在正确签名的断言/响应中是不可能的。中间的人改变不了什么。如果可以进行更改,则问题远不止重播。SP应在断言的生命周期内保留已接受断言的ID列表,以防止重播 并重新更改ID—这在正确签名的断言/响应中是不可能的。中间的人改变不了什么。如果可以进行更改,您将遇到比重
并重新更改ID—这在正确签名的断言/响应中是不可能的。中间的人改变不了什么。如果可以进行更改,则问题远不止重播。SP应在断言的生命周期内保留已接受断言的ID列表,以防止重播
并重新更改ID—这在正确签名的断言/响应中是不可能的。中间的人改变不了什么。如果可以进行更改,您将遇到比重播更大的问题。可能是一个相关线程,但如果中间的人更改了ID会怎么样?看起来有很多方法可以对断言进行签名和加密:。这以及后/前检查可能会起作用。可能是一个相关线程,但如果中间人更改了ID怎么办?似乎有一些方法可以对断言进行签名和加密:。此外:a)在IdP和SP通信之间使用HTTPs。b) 为断言设置较短的生存期(3-5分钟)。c) 加密断言。此外:a)在IdP和SP通信之间使用HTTPs。b) 为断言设置较短的生存期(3-5分钟)。c) 加密断言。