Verbrauchen SAMLResponse Token

SAML-sp-basierte Authentifizierung hat folgenden kurzen workflow.

  • Benutzer zugreifen möchte, sodass die Anwendung bei sp.
  • sp sendet SAMLRequest-token der idp.
  • idp verbrauchen und erzeugen SAMLResponse token.
  • idp sendet diese SAMLResponse token AC-URL von sp.

Meine Frage ist, wie sp verbrauchen, diese SAMLResponse token.
Was ist die Logik?
Wenn ich einige JAVA code Hilfe es von Vorteil sein wird.

InformationsquelleAutor der Frage Muhammad Imran Tariq | 2011-07-13

  1. 13

    Das nächste Rezept ist für mich arbeiten:

    1. Holen Sie sich die SAMLResponse und token entschlüsseln und Blasen:

      //Base64 decode
Base64 base64Decoder = new Base64();
byte[] xmlBytes = encodedXmlString.getBytes("UTF-8");
byte[] base64DecodedByteArray = base64Decoder.decode(xmlBytes);

//Inflate (uncompress) the AuthnRequest data
//First attempt to unzip the byte array according to DEFLATE (rfc 1951)

Inflater inflater = new Inflater(true);
inflater.setInput(base64DecodedByteArray);
//since we are decompressing, it's impossible to know how much space we
//might need; hopefully this number is suitably big
byte[] xmlMessageBytes = new byte[5000];
int resultLength = inflater.inflate(xmlMessageBytes);

if (!inflater.finished()) {
    throw new RuntimeException("didn't allocate enough space to hold "
            + "decompressed data");
}

inflater.end();

String decodedResponse = new String(xmlMessageBytes, 0, resultLength,
        "UTF-8");

return decodedResponse;

    2. Analysieren Sie die resultierende XML. Hier können Sie die Informationen, die Sie brauchen und erstellen Sie beispielsweise eine POJO (dies ist ein Beispiel-code für die Analyse LogoutRequest aber wäre Analog für die Antworten):

      //Parse the XML. SAX approach, we just need the ID attribute
SAXParserFactory saxParserFactory = SAXParserFactory.newInstance();

//If we want to validate the doc we need to load the DTD
//saxParserFactory.setValidating(true);

//Get a SAXParser instance
SAXParser saxParser = saxParserFactory.newSAXParser();

//Parse it
XMLhandler xmLhandler = new XMLhandler();
saxParser.parse(new ByteArrayInputStream(xmlLogoutRequest.getBytes()),
        xmLhandler);

//Return the SamlVO
return xmLhandler.getSamlVO();

    Für meinen Anwendungsfall bin ich interessant, nur ein paar Elemente, so bin ich mit SAX:

    public class XMLhandler extends DefaultHandler {

    private SamlVO samlVO;

    public XMLhandler() {
        samlVO = new SamlVO();
    }

    @Override
    public void startElement(String uri, String localName, String qName,
        Attributes attributes) throws SAXException {

        //Managing a LogoutRequest means that we are going to build a LogoutResponse
        if (qName.equals("samlp:LogoutRequest")) {
            //The ID value of a request will be the LogoutResponse's InReponseTo attribute 
            samlVO.setInResponseTo(attributes.getValue("ID"));
            //From the destination we can get the Issuer element
            String destination = attributes.getValue("Destination");
            if (destination != null) {
                URL destinationUrl = null;
                try {
                    destinationUrl = new URL(destination);
                } catch (MalformedURLException e) {
                     //TODO: We could set the server hostname (take it from a property), but this URL SHOULD be well formed!
                     e.printStackTrace();
                }
                samlVO.setIssuer(destinationUrl.getHost());
            }
        }   
    }

    public SamlVO getSamlVO() {
        return samlVO;
    }

}

    Hoffe es hilft,

    Luis

    PS: man kann auch mit einer Bibliothek, wie OpenSAML

    DefaultBootstrap.bootstrap();

HTTPRedirectDeflateDecoder decode = new HTTPRedirectDeflateDecoder(new BasicParserPool());
BasicSAMLMessageContext<LogoutRequest, ?, ?> messageContext = new BasicSAMLMessageContext<LogoutRequest, SAMLObject, SAMLObject>();
messageContext.setInboundMessageTransport(new HttpServletRequestAdapter(request));
decode.decode(messageContext);
XMLObjectBuilderFactory builderFactory = org.opensaml.Configuration.getBuilderFactory();
LogoutRequestBuilder logoutRequestBuilder = (LogoutRequestBuilder) builderFactory.getBuilder(LogoutRequest.DEFAULT_ELEMENT_NAME);
LogoutRequest logoutRequest = logoutRequestBuilder.buildObject();
logoutRequest = (LogoutRequest) messageContext.getInboundMessage();

    Aber bereit sein, einige Bibliotheken in den CLASSPATH!!!

    InformationsquelleAutor der Antwort Gaucho

  2. 1

    Fragen, für code ist ein bisschen viel, aber die grundlegende Bearbeitung ist, dass die SP überprüft den SAMLResponse, einschließlich der für die Wohlgeformtheit des Dokuments, das Vorhandensein der erforderlichen Werte, richtige Protokoll und alle anderen SP-spezifische Validierung (Zeitdruck, Daten, Korrespondenz, etc.), maps-Nutzer identifizierten token, die Benutzer auf SP (könnte es sich um die Erstellung Benutzer), und überträgt der Nutzer auf die angeforderte Ressource.

    InformationsquelleAutor der Antwort JST

  3. 1

    Hier ist, wie ich es in Java. Ich benutze XMLBeans Parsen der SAMLResponse, dann entschlüsseln (wenn es verschlüsselt ist) und dann die Signatur überprüfen:

    WebBrowserSSOAuthConsumerService

    InformationsquelleAutor der Antwort codebrane

Schreibe einen Kommentar