OKTA SAML签名验证 – PHP
作者:互联网
我的应用程序(PHP)从具有签名值的OKTA获取SAML响应,并且我还拥有具有公钥的OKTA证书.我的申请做了以下,
>从cert获取公钥.
>从发送给它的SAML中获取签名值.
>现在,它使用openssl_verify函数($data,$signature,$pubkeykey,“sha1WithRSAEncryption”);由于$data是OKTA用于签署saml响应的内容,因此我不确定$data必须设置什么.
我的代码,
$pubkeyid = openssl_pkey_get_details(openssl_pkey_get_public(file_get_contents("okta.cert")));
$pubkeyid = $pubkeyid["key"];
$signature = "<get it form SAML Response>";
$data = ???? (what should be provided)
$ok = openssl_verify($data, $signature, $pubkeyid,"sha1WithRSAEncryption");
当我将数据值分配给发送给应用程序的SAML响应时,我总是得到0.
我错过了什么吗?
解决方法:
SAML签名验证远不止是调用openssl_verify()函数.我建议为此目的使用一些库,如https://github.com/lightSAML/lightSAML.
在这种情况下,使用LightSAML-Core,可以按照以下步骤在其菜谱页面http://www.lightsaml.com/LightSAML-Core/Cookbook/How-to-verify-signature-of-SAML-message/上的说明进行签名验证
>将XML反序列化为数据模型对象 – 在您的情况下为Response类
>从其元数据的证书中加载IDP的公钥
>对响应签名属性调用validate()方法
请注意,正确处理响应仍然只是验证签名.完整的SAML Web浏览器SSO配置文件解决了LightSAML也实现的其他验证.
如果您使用的是Symfony,可以查看LightSAML/SpBundle,因为它实现了完整的SAML SSO配置文件,并与Symfony的安全性集成,使SAML SSO非常容易实现.
如果你真的是从头开始自己做,你可以检查xmlseclibs如何做到这一点,例如在https://github.com/robrichards/xmlseclibs的一个维护叉中.
标签:php,digital-signature,saml-2-0,okta 来源: https://codeday.me/bug/20190611/1221377.html