【揭秘SAML协议 — Java安全认证框架的核心基石】 从初识到精通，带你领略Saml协议的奥秘，告别SSO的迷茫与困惑_sso saml原理

注意：特此声明：本文首发在掘金：https://juejin.cn/post/7330680498686214180，未经允许，请勿进行侵权私自转载。

SAML协议简介

SAML（Security Assertion Markup Language）是由OASIS制定的基于XML的开放标准。它用于在身份提供者（IdP）和服务提供者（SP）之间交换身份验证和授权数据，从而支持跨域单点登录，提高身份认证和授权管理的安全性和效率。

SAML作用和效果

SAML在Web-based单点登录（SSO）中发挥着至关重要的作用。借助SAML，用户只需进行一次身份验证，即可访问多个不同的应用程序或服务，而无需重复输入凭证。这种集中化的身份验证和授权机制不仅提高了用户体验，还增强了安全性。现在，让我们进一步探讨SAML的工作原理。

为什么要使用SAML

首先，使用SAML可以显著提升用户体验。通过实现单点登录（SSO），用户只需进行一次身份验证，即可访问多个不同的系统服务。这意味着用户无需分别记忆多个系统的用户名和密码，只需记住一个即可。

其次，使用SAML还有助于提高系统的安全性。在SAML框架下，我们只需向身份提供者（IdP）提供用户名和密码进行身份验证，而无需将这些信息存储在每个资源服务器上。这样，认证信息的安全性得到了保障，因为它们仅在IdP中存储了一份。

最后，通过集中存储和管理用户的认证信息，SAML还有助于降低系统的复杂性。

SAML角色组成

在SAML协议中，有三个核心角色：主体（principal）、身份提供者（Identity Provider，简称IdP）和服务提供者（Service Provider，简称SP）。

• 主体（principal）通常代表人类用户/浏览器终端
• IdP主要负责进行身份认证，并将用户的认证信息和授权信息传递给SP。
• SP的主要职责是验证用户的认证信息，并授权用户访问指定的资源信息。

通过这样的角色划分和分工，SAML协议能够有效地支持跨域单点登录，提高身份认证和授权管理的安全性和效率。

SAML是怎么工作

通过一个详细的流程图来深入了解SAML如何实现SSO认证。请注意，根据请求方式的不同（重定向和POST），SAML的认证流程略有差异。

首先，我们来看看通过重定向方式进行的SAML SSO认证流程：

1. 用户尝试访问受保护的资源（例如某个应用或服务）。
2. 服务提供者（SP）识别出用户未经过身份验证，并重定向用户到身份提供者（IdP）进行身份验证。
3. 用户在IdP的网站上输入用户名和密码进行身份验证。
4. IdP验证用户信息，并将包含身份验证和授权信息的SAML响应发送回SP。
5. SP验证SAML响应，并授予用户访问受保护资源的权限。

接下来，我们来看看通过POST方式进行的SAML SSO认证流程：

1. 用户尝试访问受保护的资源。
2. SP识别出用户未经过身份验证，并生成包含重定向URL的SAML请求的HTML表单。
3. SP将HTML表单发送给用户，要求用户填写用户名和密码。
4. 用户在表单中输入用户名和密码，并提交给IdP进行身份验证。
5. IdP验证用户信息，并将包含身份验证和授权信息的SAML响应发送回SP。
6. SP验证SAML响应，并授予用户访问受保护资源的权限。

通过以上两种方式，我们可以看到SAML通过在IdP和SP之间交换身份验证和授权信息，实现了SSO认证，从而简化了用户的登录过程，提高了系统的安全性。

核心协议详解

上面中用户可以理解为web浏览器，我们看一下如果用户想请求SP服务提供者的资源的时候，SAML协议是怎么处理的。

1. 用户通过用户请求SP服务提供者，比如：https://www.xx.xx.com，在SP接收到请求后，它会进行必要的安全检查。如果发现已经存在一个有效的安全上下文，SP直接进入最后一步，继续处理请求。

2. 在上一步中，如果SP没有找到有效的安全上下文，它会生成对应的SAML请求，并通过重定向用户代理（User Agent）将用户转至IdP，以确保用户能够通过身份验证并获得访问受保护资源的权限。

   • 通过与IdP的交互，用户可以完成身份验证，并获得必要的授权信息，以便于之后访问受保护的资源。

302 Redirect


**自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。**

**深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！**

**因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**
![img](https://img-blog.csdnimg.cn/img_convert/f0f3ca50dc6303907d4650405fecc83f.png)
![img](https://img-blog.csdnimg.cn/img_convert/0f9c473bd67aa06307c58d8a69b4b269.png)
![img](https://img-blog.csdnimg.cn/img_convert/304dfff24d0928d8190122cf9fd48ee6.png)
![img](https://img-blog.csdnimg.cn/img_convert/a0ecef354c24c74b2493db0e53ad2eaa.png)
![img](https://img-blog.csdnimg.cn/img_convert/10c5d8657a66187325951d4f8542b6a9.png)
![img](https://img-blog.csdnimg.cn/img_convert/4dc81b6fba82c3b208e985c9c1b0f3ee.png)

**既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！**

**由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新**

**如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）**
![img](https://img-blog.csdnimg.cn/img_convert/3ed9d71176f3bd0f7ce9b59d399877ec.png)



## 写在最后

**在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。**


需要完整版PDF学习资源私我





**一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**
![img](https://img-blog.csdnimg.cn/img_convert/28c82707ee3eb33f3417f4bbec4b016b.png)

群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**
[外链图片转存中...(img-wfp5uDWy-1712879261744)]