堆栈内存溢出
  繁体   English   中英

根据SAML请求创建SAML响应

[英]Create SAML response based on SAML request

 原文  2014-10-30 07:54:50       java/ saml/ saml-2.0/ assertions

问题描述

我已经开发了Java Web应用程序,并且想要实现SAML。 这些是我认为实施SAML正确的步骤。

  1. 服务提供商(SP,在本例中为我的应用程序)将SAML身份验证请求发送到IdP。
  2. 然后,IdP对其进行验证并创建SAML响应声明,并使用证书对其进行签名,然后发送回SP。
  3. 然后,SP用密钥库中的证书的公钥对其进行验证,然后进一步进行验证。

我有一个示例代码,并且能够创建SAML请求及其类似内容 

<samlp:AuthnRequest xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
    ID="_c7b796f4-bc16-4fcc-8c1d-36befffc39c2" Version="2.0"
    IssueInstant="2014-10-30T11:21:08Z" ProtocolBinding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST"
    AssertionConsumerServiceURL="http://localhost:8080/mywebapp/consume.jsp">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">http://localhost:8080/mywebapp
    </saml:Issuer>
    <samlp:NameIDPolicy
        Format="urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified"
        AllowCreate="true"></samlp:NameIDPolicy>
    <samlp:RequestedAuthnContext Comparison="exact">
        <saml:AuthnContextClassRef xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
        </saml:AuthnContextClassRef>
    </samlp:RequestedAuthnContext>
</samlp:AuthnRequest>

我可以对其进行编码并发送到IdP。

我想创建示例Java代码来获取此SAML请求,然后创建SAML响应。 如何解码请求并验证它并创建响应? 并且我需要用证书在saml响应上签名吗? 然后发送回SP?

谢谢。

2 个解决方案

解决方案1
 5  2015-05-14 10:15:25

尽管这是一篇过时的文章,但是我添加了示例代码和我认为有用的参考。 

SAMLResponse = hreq.getParameter("SAMLResponse");
InputSource inputSource = new InputSource(new StringReader(SAMLResponse));
SAMLReader samlReader = new SAMLReader();                   
response2 = org.opensaml.saml2.core.Response)samlReader.readFromFile(inputSource);

现在验证数字签名: 

org.opensaml.saml2.core.Response response2 = (org.opensaml.saml2.core.Response)samlReader.readFromFile(inputSource);  
//To fetch the digital signature from the response.
Signature signature  = response2.getSignature(); 
X509Certificate certificate = (X509Certificate) keyStore.getCertificate(domainName);
//pull out the public key part of the certificate into a KeySpec
X509EncodedKeySpec publicKeySpec = new X509EncodedKeySpec(certificate.getPublicKey().getEncoded());
//get KeyFactory object that creates key objects, specifying RSA - java.security.KeyFactory
KeyFactory keyFactory = KeyFactory.getInstance("RSA");                  
//generate public key to validate signatures
PublicKey publicKey = keyFactory.generatePublic(publicKeySpec);
//we have the public key                    
BasicX509Credential publicCredential = new BasicX509Credential();
//add public key value
publicCredential.setPublicKey(publicKey);
//create SignatureValidator
SignatureValidator signatureValidator = new SignatureValidator(publicCredential);
//try to validate
try{
signatureValidator.validate(signature); 
catch(Exception e){
//
}

现在获取断言图: 

samlDetailsMap = setSAMLDetails(response2);

在上述逻辑中,使用以下私有方法提取所有断言属性。 最后,您将获得发送给您的所有字段的地图。 

 private Map<String, String> setSAMLDetails(org.opensaml.saml2.core.Response  response2){
        Map<String, String> samlDetailsMap = new HashMap<String, String>();
        try {
            List<Assertion> assertions = response2.getAssertions();
            LOGGER.error("No of assertions : "+assertions.size());
            for(Assertion assertion:assertions){
                List<AttributeStatement> attributeStatements = assertion.getAttributeStatements();
                for(AttributeStatement attributeStatement: attributeStatements){
                    List<Attribute> attributes = attributeStatement.getAttributes();
                    for(Attribute attribute: attributes){
                        String name = attribute.getName();                          
                        List<XMLObject> attributes1 = attribute.getAttributeValues();
                        for(XMLObject xmlObject : attributes1){
                            if(xmlObject instanceof XSString){
                                samlDetailsMap.put(name, ((XSString) xmlObject).getValue());
                                LOGGER.error("Name is : "+name+" value is : "+((XSString) xmlObject).getValue());
                            }else if(xmlObject instanceof XSAnyImpl){
                                String value = ((XSAnyImpl) xmlObject).getTextContent();

                                samlDetailsMap.put(name, value);

                            }         
                    }
                }
            }       
       }
      } catch (Exception e) {             
          LOGGER.error("Exception occurred while setting the saml details");        
        }       
        LOGGER.error("Exiting from  setSAMLDetails method"); 
        return samlDetailsMap;
    }

添加新的类SAMLReader,如下所示: 

import java.io.IOException;
import java.io.InputStream;

import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;

import org.opensaml.DefaultBootstrap;
import org.opensaml.xml.Configuration;
import org.opensaml.xml.XMLObject;
import org.opensaml.xml.io.UnmarshallingException;
import org.w3c.dom.Element;
import org.xml.sax.InputSource;
import org.xml.sax.SAXException;


public class SAMLReader {

 private static DocumentBuilder builder;

 static{
        try{
            DefaultBootstrap.bootstrap ();
            DocumentBuilderFactory factory = 
                    DocumentBuilderFactory.newInstance ();
                factory.setNamespaceAware (true);        
            builder = factory.newDocumentBuilder ();
        }catch (Exception ex){
            ex.printStackTrace ();
        }
    }



/**
 * 
 * @param filename
 * @return
 * @throws IOException
 * @throws UnmarshallingException
 * @throws SAXException
 */
public XMLObject readFromFile (String filename)
            throws IOException, UnmarshallingException, SAXException{
            return fromElement (builder.parse (filename).getDocumentElement ());    
}
/**
 *      
 * @param is
 * @return
 * @throws IOException
 * @throws UnmarshallingException
 * @throws SAXException
 */
public XMLObject readFromFile (InputStream is)
                throws IOException, UnmarshallingException, SAXException{
                return fromElement (builder.parse (is).getDocumentElement ());    
}
/**
 *      
 * @param is
 * @return
 * @throws IOException
 * @throws UnmarshallingException
 * @throws SAXException
 */
public XMLObject readFromFile (InputSource  is)
                throws IOException, UnmarshallingException, SAXException{                   
                return fromElement (builder.parse (is).getDocumentElement ());    
}

/**
 * 
 * @param element
 * @return
 * @throws IOException
 * @throws UnmarshallingException
 * @throws SAXException
 */
public static XMLObject fromElement (Element element)
            throws IOException, UnmarshallingException, SAXException{   
    return Configuration.getUnmarshallerFactory ()
                .getUnmarshaller (element).unmarshall (element);    
 }

}

解决方案2
 2 已采纳  2014-10-30 08:23:06

您列出的步骤或多或少是正确的。 我唯一要指出的是,如果单词发送 (例如,在“ SP ...将SAML身份验证请求发送到IdP”中),则必须小心含义。 SAML允许SP和IdP之间零直接通信的身份验证方案。

另一个小的补充是SP也可以签署他的请求,因此您可能在两面都进行了签名验证。 SP方面的验证是强制性的。

如果要实现SAML,则可能需要检查现有解决方案之一,例如Shibboleth 如果您使用Spring和JBoss等平台,则可能需要检查Spring Security SAMLJBoss PicketLink 如果要降级 ,请检查OpenSAML

在我的公司中,我们以JBoss为标准,并对PicketLink感到非常满意。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 JAVA中的SAML请求和响应 创建SAML断言并签署响应 如何调试OpenAM“ SAML请求无效响应” 基于SAML版本的cxf DefaultSecurityTokenServiceProvider响应 如何使用开放式SAML签名SAML响应? 澄清RSA SAML响应 SAML断言响应 SAML响应未达到SuccessHandler 发送SAML响应 OKTA SSO SAML响应
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM