单点登录 - SAML协议

SAML 即安全断言标记语言,英文全称是 Security Assertion Markup Language。它是一个基于 XML 的标准,用于在不同的安全域(security domain)之间交换认证和授权数据。在 SAML 标准定义了身份提供者 (identity provider) 和服务提供者 (service provider),可以用来传输安全声明。
最近在集成客户单点,正好用到了SAML协议,SAML在单点登录中一旦用户身份被主网站(身份鉴别服务器,Identity Provider,IDP)认证过后,该用户再去访问其他在主站注册过的应用(服务提供者,Service Providers,SP)时,都可以直接登录,而不用再输入身份和口令。

一: SAML 单点流程

image.png

1: 用户打开浏览器请求SP的受保护资源
2: SP收到请求后发现没有登录态,则生成saml request,同时请求IDP
3: IDP收到请求后,解析saml request(如果没有登录态) 然后重定向到登录页面
4: 用户在认证页面完成认证,再由IDP重定向到SP 的回调接口上
5: SP收到回掉信息后对response 解析校验,成功后生成SP侧的登录态

二: IDP侧需要搭建SAML协议的服务端

常见的有:ADFS, AZURE 当然也有自研的
Adfs, Azure 的搭建可以参考微软的官方文档

https://support.freshservice.com/support/solutions/articles/226938-configuring-adfs-for-freshservice-with-saml-2-0

三:SAML request构造

SAMLRequest就是SAML认证请求消息。因为SAML是基于XML的比较长需要压缩和编码,在压缩和编码之前,SAMLRequest格式如下:


    https://www.xxx.cn
    

在这个xml中,我们需要填充3个信息:
1: AssertionConsumerServiceURL(IDP 认证完成后的重定向地址)
2: Destination(IDP 的目的地址)
3: saml:Issuer(请求方的信息) ;
填充完成后再对xml进行Deflater编码 + Base64编码

填充xml的方法:

public static String fillDestination(String destination) {
    SAXReader reader = new SAXReader();
    Document document = null;
    try {
        //document = reader.read(ResourceUtils.getFile("classpath:samlXml/samlRquestXml.xml"));
        //上面这种方式在idea上运行是可以的,但是打成jar包是会报文件找不到的异常
        ClassPathResource classPathResource = new ClassPathResource("samlXml/samlRquestXml.xml");
        document = reader.read(classPathResource.getInputStream());
        Element rootNode = document.getRootElement();
        List attributes = rootNode.attributes();
        for (Attribute a : attributes) {
            if (a.getName().equalsIgnoreCase("Destination")) {
                a.setValue(destination);
                break;
            }
        }

    } catch (FileNotFoundException e) {
        e.printStackTrace();
    } catch (IOException | DocumentException e) {
        e.printStackTrace();
    }

    return document.asXML();
}

Deflater编码 + Base64编码

private static String getString(String samlRequest) throws IOException {
    ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
    DeflaterOutputStream deflater = new DeflaterOutputStream(outputStream, new Deflater(Deflater.DEFLATED, true));
    try {
        deflater.write(samlRequest.getBytes(StandardCharsets.UTF_8));
        deflater.finish();
        // 2.Base64
        return Base64.encode(outputStream.toByteArray());
    } catch (Exception ex) {

    } finally {
        if (!ObjectUtils.isEmpty(outputStream)) {
            outputStream.close();
        }

        if (!ObjectUtils.isEmpty(deflater)) {
            deflater.close();
        }
    }

    return null;
}

注:Deflater默认是zlib压缩(会在xml上再加一层header) 同时,第2个参数要设置为true,因为这个字段为true则Deflater执行压缩的时候就不会把header信息序列化到xml 原文如下:

If 'nowrap' is true then the ZLIB header and checksum fields will not be used in order to support the compression format used in both GZIP and PKZIP.

四:发送请求

https://adfs.xxxx.com/adfs/ls?SAMLRequest={第三步中生成的请求参数}

当IDP收到请求校验通过后就会重定向到自己的login页面,登录完成后再call back需要免登的应用服务

五:response解析

IDP验证完成后会生成response给我的应用服务,同时我们需要再对response进行相应的Base64 decode 和 inflater

public static String xmlInflater(String samlRequest) throws IOException {

 byte[] decodedBytes = Base64.decode(samlRequest);

 StringBuilder stringBuffer = new StringBuilder();

 ByteArrayInputStream bytesIn = new ByteArrayInputStream(decodedBytes);

 InflaterInputStream inflater = new InflaterInputStream(bytesIn, new Inflater(true));

 try {

 byte[] b = new byte[1024];

 int len = 0;

 while (-1 != (len = inflater.read(b))) {

 stringBuffer.append(new String(b, 0, len));

 }

 } catch (Exception e) {

 //write log

 } finally {

 if (!ObjectUtils.isEmpty(inflater)) {

 inflater.close();;

 }

 if (!ObjectUtils.isEmpty(bytesIn)) {

 bytesIn.close();

 }

 }

 return stringBuffer.toString();

}

最后再介绍一款在线的samltool

https://www.samltool.com/url.php

你可能感兴趣的:(单点登录 - SAML协议)