我正在與一位建立了自行開發的引擎來生成SAML斷言的客戶合作。我們使用ForumSentry來驗證斷言,但摘要未能驗證。我們已經有十幾個其他客戶向我們發送了SAML斷言,對於web SSO來說,這非常好,我確信ForumSys擁有許多100多位ForumSentry的客戶,他們的工作也非常完美。SAML斷言中的哪些數據被消解?
我花了很多時間試圖瞭解到什麼是摘要,並試圖找到摘要算法的XML樣本。我失敗了,我希望得到一些幫助。
在我看來,唯一簽署的數據是引用URI,而不是所有其他的斷言的「參數」,如主體,發行人等。這是正確的/我不明白什麼?這是什麼背景?如果正確,其他數據如何防止被篡改?
有沒有假設Web SSO必須通過HTTPS來保護整個斷言的完整性?
什麼數據完全形成簽名的數據?有人可能會發佈一個示例,包括簽名前數據和後期標準化數據。
任何其他背景信息將是偉大的。