SAML HTTP 重定向绑定中未保留查询字符串

Question

我们使用 Spring SAML 安全扩展在我们的应用程序中实现 SAML。我们现在有以下问题：

我们的一位客户正在为其身份提供者提供一个包含参数的 URL。元数据如下所示（为简洁起见，高度缩写）：

<EntityDescriptor>
  <IDPSSODescriptor>
    <SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect"
        Location="https://idp.example.com/login?parameter=value"/>
  </IDPSSODescriptor>
</EntityDescriptor>

可以看出，有一个名为“parameter”的参数，其值为“value”。生成的重定向 URL 中不存在此参数。我调试了一下，发现SAMLProcessorImpl 从绑定中获取MessageEncoder（对于HTTP 重定向是HTTPRedirectDeflateEncoder）并委托对消息进行编码。编码器依次在其buildRedirectURL 方法中执行以下操作：

// endpointURL is https://idp.example.com/login?parameter=value here
URLBuilder urlBuilder = new URLBuilder(endpointURL);

List<Pair<String, String>> queryParams = urlBuilder.getQueryParams();
queryParams.clear(); // whoops

因此，出于某种原因，参数被有意无条件地剥离。

为什么会出现这种情况，我该如何以最有效的方式解决这个问题？

Answer 1

现在我通过扩展HTTPRedirectDeflateEncoder、复制buildRedirectURL 的代码并删除queryParams.clear() 解决了这个问题。因为 URL 是通过简单连接创建的，所以我明确删除了所有保留的 SAML 参数（如SigAlg 等）以避免潜在的安全问题。之后，只需简单的 Spring 配置更改即可将所有内容连接在一起。

不过，我仍然不知道为什么首先要清除列表。

Answer 2

SAML 身份验证请求只能由受信任的实体发送，并带有不可篡改的参数。在根据 HTTP-Redirect 绑定编码的 SAMLAuthnRequest 之外添加一个参数将意味着潜在的攻击者可以随意更改值，而 IDP 将无法检测到这种更改 - 因为该参数不会被数字签名覆盖.

SAML 除了请求本身称为relayState 之外，还提供了一种用于传递安全内容的机制——您可以使用Spring SAML 的WebSSOProfileOptions 来设置它。

以上是清除参数的原因（至少我相信是这样，这个逻辑来自不是我写的 OpenSAML 库），但当然如果你不介意安全隐患，你找到的方法刚刚好。