SAML断言可以在Transit中修改吗？

Question

有什么可以阻止用户修改SAML断言发送给服务提供者吗？

例如，如果SAML响应通过电子邮件地址向服务提供商标识用户，那么断言中是否有任何内容可以阻止某人使用Fiddler之类的东西修改it，并将他们的电子邮件地址替换为同一家公司中的一个在他们试图访问的服务中具有更高级别访问权限的人？

Answer 1

您的SAML响应中的断言应该使用私有/公钥对和xmldsig进行签名。如果正确签名，更改断言的内容将使签名失效，从而使断言本身失效。

现在，如果

• 服务提供者不需要签名，
• 或者不检查签名的有效性，
• 或者私钥被泄露了

那么几乎任何事情都是可能的。

Answer 2

是的，可以修改它，但是即使对响应进行微小的更改(比如添加一个空间)，服务提供者端的签名验证过程也会失败(前提是SP按照应该做的那样对其进行验证)