深入浅出SAML协议

已于 2022-11-26 22:39:19 修改
阅读量1.5w 收藏 77
点赞数 16
文章标签: java 前端 服务器
于 2021-03-15 16:47:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a1173537204/article/details/114839749
版权

SAML概述

SAML(Security Assertion Markup Language 安全断言标记语言)是一个基于XML的开源标准数据格式,为在安全域间交换身份认证和授权数据,尤其是在IDP(Identity Provider身份提供方)和SP(Service Provider 服务提供方)之间。SAML是OASIS(Organization for the Advancement of Structured Information Standards 安全服务技术委员会)制定的标准,始于2001年,其最新主要版本SAML 2.0于2005年发布。SAML解决的最主要的需求是基于Web的单点登录(SSO)。

SAML出现早,内容比较全,应用很广泛,但是缺点也比较明显。首先SAML只支持Web的SSO,不支持移动端;其次内容太广,如果要做一个比较全的SAML,需要实现协议中规定的所有项目,包括大量的可选项目,工程量比较大;再次SAML是基于XML的协议,这样又需要基于更多的协议进行开发。

SAML协议中定义了三种角色:

User Agent:用户代理,一般指自然人用户通过浏览器进行服务访问或者向其他服务提供者请求资源的的系统主体;

IDPIdentity Provider:一种服务提供者,它创建、维护和管理主体的身份信息,并向联邦内的其他服务提供者提供主体身份验证;

SPService Provider:一种服务提供者,通过解析IDP发出的身份认证断言,验证主体身份认证信息后,给主体或联邦内其他系统提供服务。

Metadata

SAML协议规定,要让IDP和SP实现SSO,需要在IDP和SP进行参数配置,主要是交换IDP和SP的Metadata(元数据)信息,IDP的Metadata示例如下:

  <md:EntityDescriptor entityID="https://idp.example.org/SAML2" validUntil="2013-03-22T23:00:00Z"
    xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
    xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
    xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <!-- insert ds:Signature element (omitted) -->
    <!-- insert md:IDPSSODescriptor element (below) -->
    <md:Organization>
      <md:OrganizationName xml:lang="en">Some Non-profit Organization of New York</md:OrganizationName>
      <md:OrganizationDisplayName xml:lang="en">Some Non-profit Organization</md:OrganizationDisplayName>
      <md:OrganizationURL xml:lang="en">https://www.example.org/</md:OrganizationURL>
    </md:Organization>
    <md:ContactPerson contactType="technical">
      <md:SurName>SAML Technical Support</md:SurName>
      <md:EmailAddress>mailto:saml-support@example.org</md:EmailAddress>
    </md:ContactPerson>
  </md:EntityDescriptor>

主要元素信息为:

标签

说明

<md:EntityDescriptor>下的entityID

IDP的唯一标识。

<md:EntityDescriptor>下的validUntil

元数据的过期时间。

<ds:Signature>

包含数字签名,以确保元数据的真实性和完整性。

<md:Organization>

组织信息。

<md:ContactPerson>

联系人信息。

IDP的SSO相关Metadata是<md:IDPSSODescriptor>元素,示例如下:

  <md:IDPSSODescriptor
    protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
      <ds:KeyInfo>...</ds:KeyInfo>
    </md:KeyDes
最低0.47元/天 解锁文章
日薪灬越亿
关注
SAML 协议-简单的SAML
隔壁老瓦的专栏
12-28 1190
SURFconext 在一个单一的协作平台中结合了各种技术,当所有这些技术协同工作时,就是 SURFconext 真正闪耀的时候。但这些技术的交织有时也会使 SURFconext 显得复杂和令人生畏。在这篇文章中,我将尝试阐明 SURFconext 拼图中最重要的部分之一:安全断言标记语言,或简称 SAMLSAML(或更具体地说,SAML 2.0 版)是将单点登录引入 SURFconext 的原因——能够仅对您的家乡大学(或 SAML 术语中的身份提供者)进行一次身份验证,然后登录到许多应用程.
【揭秘SAML协议Java安全认证框架的核心基石】 从初识到精通,带你领略Saml协议的奥秘,告别SSO的迷茫与困惑
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
02-02 1648
SAML(Security Assertion Markup Language)是由OASIS制定的基于XML的开放标准。它用于在身份提供者(IdP)和服务提供者(SP)之间交换身份验证和授权数据,从而支持跨域单点登录,提高身份认证和授权管理的安全性和效率。
SAML协议交互,实现工程Demo(有注释)
02-01
OpenSAML-ref-project-demo-v3 这一个使用OpenSAML库的示例项目: 一个很简单的网址,其充当SP;同时该项目还包括一个很简单的IDP; SAML协议的交互将在这二者之间展开。项目启动之后,访问如下网址: http://localhost:8080/webprofile-ref-project/app/appservlet 这是一个SP的模拟,第一次访问该网址时将会跳转到IDP,进行认证流程。
走进SAML——基础篇
义臻的博客
11-08 3188
SAML的全称是Security Assertion Markup Language。提到SAML,我们主要想到的是其在各种单点登录场景中大行其道。单点登录我们通常叫做SSO,那么SAML到底是如何实现SSO的呢?在这个系列的文章中,我将为大家阐释清楚。不过,水是有源的,树是有根的。一切的一切,还得从非对称密码学谈起! 密码学新方向 1976年,两个斯坦福大学的杰出学者,在经过了三年的合作之后......
探索 `gosaml`:Go 语言中的 SAML 客户端库
最新发布
gitblog_00608的博客
08-16 722
探索 gosaml:Go 语言中的 SAML 客户端库 gosamlSAML client library written in Go (golang)项目地址:https://gitcode.com/gh_mirrors/go/gosaml 项目介绍 gosaml 是一个用 Go 语言编写的 SAML 客户端库,旨在简化云端单点登录(SSO)的实现。SAML(Security Assertio...
SAML
gotohbu的专栏
06-09 817
  SAML即安全断言标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider),这两者构成了前面所说的不同的安全域。   SAML是OASIS组
基于SAML的单点登录介绍
weixin_34198453的博客
11-19 1693
一、背景知识: SAML即安全断言标记语言,英文全称是Security Assertion Markup Language。它是一个基于XML的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在SAML标准定义了身份提供者(identity provider)和服务提供者(service provider),这两者构成了前面所说的不同的安全域。 SA...
SAML协议 — 理解SAML2 协议和联合身份验证流程
qq_38658567的博客
05-18 5642
SAML 2.0 是许多身份验证提供商(Identity Provider, IdP)使用的一种开放标准。使用身份提供商可实现联合单点登录(Federated Single Sign-on, SSO)
SAML的标准与协议
10-24
SAML是OASIS制定的一种安全性断言标记语言,它用于在复杂的环境下交换用户的身份识别信息。在SAML诞生之前,如果想在Websphere、Weblogic和SunONE等之间实现SSO,我们必须分别实现一个适配层,来达成一种相互理解的协议,在该协议上,产品能够共享各自的用户认证/授权信息。SAML诞生之后,我们免去了这种烦恼。可以预计,将来大部分产品都可以实现基于SAML的联邦服务
SAML2.0核心协议规范saml-core-2.0-os
02-14
SAML2.0核心协议规范 saml-core-2.0-os
【分布式技术专题】「单点登录技术架构」一文带领你好好认识以下Saml协议的运作机制和流程模式
世界上并没有完美的程序,但是我们并不因此而沮丧,因为写程序就是一个不断追求完美的过程。
04-10 7753
如果您的应用程序是以多租户方式设置的,并且在URL中包含域信息(例如,使用https://domain1.example.com或https://www.example.com/domain1),),则每个子域都有一个ACSURL端点可能是个不错的选择,因为URL本身可以标识该域。通常,在用户通过身份验证后,浏览器将转到SP中的通用登录页。即使在目的是让特定租户的所有用户都启用SAML的情况下,在概念验证、测试和推出期间只启用部分用户,以便在对所有用户启用之前测试较小的用户子集的身份验证,也可能是有用的。
SAML 2.0 详解
12-08
文中详细描述了SMAL的定义和他所用到的专业术语,平配合一定的例子加以讲解,是学习和理解SMAL 比配良书。
SAML2.0协议翻译
09-03
Security Assertion Markup Language(SAML)是以XML为基础的,为在安全域间交换认证和授权数据的标准,即在身份提供者(断言的产生者)和服务提供者(断言消费者)间进行交换。
saml协议所需jar包
06-08
里边是saml所需要的jar包,包括sp和idp端均可使用,核心jar包为open-saml
Web Service附加身份认证样例
03-22
综合以上信息,我们可以推测这篇博客将深入浅出地介绍Web服务身份验证的原理和实践,对于理解Web服务安全和提升开发技能具有很大的帮助。由于具体的文件列表只有一个“was”文件,这可能是WebSphere Application ...
SAML2.0 从零到壹最佳实践
eastyy的博客
02-18 2900
前言 SAML协议是一个比较复杂的协议,有很多文章介绍了SAML协议的基础知识,但是如何SAML协议如何实现,如何配置一个SAML的SP服务方,提供一个支持调试的SAML的认证服务(IDP),缺乏一个深入浅出的介绍系统性的介绍。 本博客详细介绍了SAML协议的基础概念,实现,相关的DEMO以及提供调试的IDP。 需要知道的基础概念 首先需要了解几个基本的服务方: IDP:账号认证的服务方,如赛赋I...
深入理解XXE漏洞。
snowlyzz的博客
08-22 888
xxe浅了解
Java反射机制与动态代理:深入JDK动态特性,提升编程灵活性
!...# 1. Java反射机制的基础概念 ## 1.1 反射机制的定义与作用 在Java编程语言中,反射机制(Reflection)是被视为动态语言的关键特性之一,允许程序在运行时对自身进行检查,改变程序的行为。具体来说,反射可以...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值