0
使用.NET 3.5SAML断言值XML签名结束语
我一直在问我的一个客户,以提高我检查SAML响应,他们发给我的方式。
它们通过使用共享证书进行数字签名的响应发送。这一切都证明是正确的,但他们正在使用诸如Burp之类的工具来挑选我,他们能够拦截他们发送给我的响应并更改正在发送的ID值。这就是所谓的XML签名包装。
我的问题是如何检查我收到的价值没有被改变?
非常感谢
马特
A
回答
0
当您验证在.NET中对预共享证书的XML签名,你应该做两两件事:
- 呼叫
SignedXml.CheckSignature()来检查内容签名指的是根据签名有效。 - 检查签名的引用(在SAML2的情况下应该只有一个),然后用引用的id调用
SignedXml.GetIdElement()。然后使用返回的节点进行进一步处理。这将确保您正在处理的节点是与SignedXml验证的相同的节点。
进一步的阅读可见我的博客文章在https://coding.abel.nu/2015/12/xml-signatures-and-references/
相关问题
- 1. Spring Security SAML扩展,SAML断言,Mangled,签名丢失
- 2. SAML响应和断言是否已签名/未签名?
- 3. SAML签名问题
- 4. Azure中基于SAML的IDP(带签名响应和加密断言)设置?
- 5. 为什么SAML断言文件的数字签名的一部分?
- 6. 如何验证SAML签名值
- 7. 如何显示Saml断言节点?
- 8. 处理SAML断言如何工作?
- 9. 在TFIM中捕获SAML断言
- 10. ASP.Net Core - 将SAML断言转化为ClaimsPrincipal
- 11. SAML断言解密使用Java代码
- 12. OpenSSO SSOToken到SAML断言和返回
- 13. 在java中生成SAML响应/断言
- 14. 结合断言和switch语句
- 15. OKTA SAML签名验证 - PHP
- 16. 在treeview控件中结束xml标签
- 17. ANTLR语义断言
- 18. PHP截断结束
- 19. SSO SAML数字签名验证 - XML unicode字符
- 20. JMeter断言结果
- 21. 使用x509证书签署SAML断言时'格式错误的引用元素'
- 22. Selenium IDE断言XML答案
- 23. 方法名称与语言结构
- 24. 如何才能从saml响应得到断言Id,在devise-saml-authentication模型中
- 25. 在断言线上打印回溯“结束”,在Python3 unittest addFailure
- 26. 带用户名/密码的SAML断言 - 这些消息是什么样的?
- 27. c语言中断循环
- 28. c语言的中断
- 29. AVSpeechSynthesizer检测结束发言?
- 30. ADL 2.0中的SAML 2签名错误
是断言签名,或在响应签署?你今天如何验证它? –