您的位置: 首页  >  技术问答  >  如何避免会话数据密钥,中继状态等敏感信息作为WSO2查询参数的一部分IS

如何避免会话数据密钥,中继状态等敏感信息作为WSO2查询参数的一部分IS

分类: 技术问答 2022-04-24 09:52:24

如何避免会话数据密钥,中继状态等敏感信息作为WSO2查询参数的一部分IS

问题描述:

我正在使用WSO2 IS 5.3.0版本。当我打开登录页面时,我在URL的查询参数中看到更多信息。如何避免通过查询参数传输此信息。如何避免会话数据密钥,中继状态等敏感信息作为WSO2查询参数的一部分IS

例如:https://sample.com/authenticationendpoint/login.do?RelayState=https://sample.com/callback?client_name=Saml2Client&commonAuthCallerPath=/samlsso&forceAuth=false&passiveAuth=false&tenantDomain=carbon.super&sessionDataKey=11122234-o4df-5f6c-333a-23jghruy54jf&relyingParty=temp&type=samlsso&sp=temp&isSaaSApp=true&authenticators=BasicAuthenticator:LOCAL

上述参数都不是敏感信息和用于传送不同的浏览器重定向状态信息。

有人可能怀疑“sessionDataKey”会携带敏感信息。然而,一旦认证流程以成功或失败完成,那么生命周期就结束了。

URL参数中的敏感信息是可以从中间日志中检索的参数,可以用来伪造新的有效请求。这些参数都不能用于此目的。

+0

是的。 “sessionDataKey”是内部用来传递临时信息的标识符。正如@Ruwan所解释的,sessionDataKey的使用寿命只有在认证流程完成之前。 – farasath

相关推荐