我使用php-saml工具包https://github.com/onelogin/php-saml在Web应用程序中实现SSO。身份验证本身有效,但当我检查拦截代理https://portswigger.net/burp/communitydownload时,saml令牌显示为clear(如xml,用户名以及为验证传递的所有信息)。在连接器和设置https://github.com/onelogin/php-saml/blob/master/settings_example.php我已设置证书(在idp / x509cert)
我不确定certFingerprint的存在是否有所作为,我尝试使用和不使用,并且saml令牌在两种情况下都是明确的。
是否可以加密此saml响应?它仍然是签名所以它无法更改,但明确这些数据对我来说仍然是一个问题
您确实可以加密SAML响应,并且您的Onelogin管理员需要为您的应用程序设置它。加密响应(或断言)可以通过使用TLS来缓解,因为您已经在传输层加密,并且我看到的大多数应用程序都不加密响应或断言,但如果需要,它可以在Onelogin中使用。