如何创建签名的AuthNRequest？

请注意，文档中包含了很多内容：

SAML metadata。

要签署请求，您需要添加类似的内容（通常在sp.xml中找到）：

<SPSSODescriptor AuthnRequestsSigned="true" WantAssertionsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">

签名密钥看起来像：

<KeyDescriptor use="signing">
            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:X509Data>
                    <ds:X509Certificate>      MIIDWTC...CAkGgAwIBAgIEe+a+/uaSZCp5g2z+hRWRV+DyfQc9nO
                    </ds:X509Certificate>
                </ds:X509Data>
            </ds:KeyInfo>
        </KeyDescriptor>

MII ......是公钥的地方。

按照@Stefan，使用库要容易得多。

SAML身份验证请求是一个XML文档。您可以像签署任何其他XML文档一样签署SAML身份验证请求。但是，有一些限制：

1. 签名必须是封装签名。
2. 在消化之前，SAML身份验证请求不得通过封装签名转换和独占规范化转换之外的方法进行转换。
3. Signature元素只能包含一个Reference元素。
4. 唯一的Reference元素的URI必须包含已签名的SAML身份验证请求的ID属性的值。
5. 在签名之前，SignedInfo元素必须使用独占规范化方法进​​行规范化。

您可以在第5节中阅读SAML断言和协议规范（http://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf）的更多细节。

如果您构建自己的请求而没有任何更大的框架，我可以推荐OpenSAML。它是一个帮助构建SAML消息的库。

在我的书A Guide to OpenSAML中，详细解释了这个和更多。

编辑我发布了一个new edition of the book，涵盖了OpenSAML V3

Here是我在签署SAML消息时写的一个例子

And one关于如何发送AuthnRequests。

关于安全的事情从来都不容易......你肯定会检查由@nzpcmad链接的文档，以及SAML2 profiles（寻找WB SSO - Web浏览器单点登录）。

对于Java，OpenSaml确实是最简单的解决方案之一。

你的问题不够充分！

您发送的AuthRequest似乎是REDIRECT请求，您将看不到摘要，签名和证书，因为所有这些详细信息都将在URL中作为参数。

尝试使用POST SSO请求，您将在SAML请求中看到摘要，签名和证书。

一些要点：

Common

• IdP和SP都应该共享他们的Metadata，它们的基本配置如id，签名算法，散列方法，公钥等。
• 因此，根据Idp之间的合同，您应该使用您喜欢的编程语言对您的请求进行散列和签名。

SP:

• 您应该使用您的公钥进行加密。
• 你应该用你的私钥唱歌。
• 您应该使用Base64对您的请求进行编码。

IdP:

• 他们将使用请求中的公钥进行身份识别。
• 他们将使用加密和签名的xml回复。
• 您应该解密并取消签名响应。

Quick Links

1. Official Doc about SAML 2.0
2. SAML Online Tool by OneLogin

一个陷阱似乎是通过HTTP-Redirect绑定，签名由附加的URL-Parameters传输，而不是SAMLRequest值的一部分，例如， https://my-idp.com/login?SAMLRequest=nVNN...%3D&SigAlg=http%3A%2F%2Fwww.w3.org%2F2001%2F04%2Fxmldsig-more%23rsa-sha256&Signature=QZ64...%3D%3D