无法为 SAML 响应进行有效签名

哈喽！大家好，很高兴又见面了，我是golang学习网的一名作者，今天由我给大家带来一篇《无法为 SAML 响应进行有效签名》，本文主要会讲到等等知识点，希望大家一起学习进步，也欢迎大家关注、点赞、收藏、转发! 下面就一起来看看吧！

我在我们的项目中使用 go-saml 库来启用 SSO，其中服务提供商将是 Salesforce，身份提供商将是 Golang 代码。 Golang 代码将首先验证用户，然后创建 SAML 响应以允许用户登录 Salesforce。 我是 Golang 新手，正在关注此库的创建 SAML 响应（如果充当 IdP）。到目前为止，我能够使用它创建 SAML 响应，但在根据要求自定义它时面临一些挑战。

1. 我面临的第一个挑战是在条件块中添加AudienceRestriction，如下所示：-

https://saml.salesforce.com

我尝试在代码中添加如下所示的内容，但似乎 AudienceRestrictions 未在 Conditions 对象中定义。

authnResponse := saml.NewSignedResponse() authnResponse.Conditions.AudienceRestrictions = "https://saml.salesforce.com"

我找不到任何方法可以在 Salesforce 强制执行的条件块中添加上述块。请建议我一些方法来做到这一点。

1. 我还必须在条件块下方添加 AuthnStatement，如下所示：-

urn:oasis:名称:tc:SAML:2.0:ac:classes:未指定

1. 即使在 SAML 响应中手动添加上述块后，我在使用 Salesforce SAML 验证器验证 SAML 响应时仍收到以下错误

正在验证签名... 回复是否已签名？真的 断言是否已签署？错误的 响应签名中的引用有效 keyinfo 中提供的证书是否正确？真的 签名或证书问题 响应中的签名无效

我已经生成了一个公钥（自签名.pem证书）和一个私钥。之后，我将公钥上传到 Salesforce，并使用私钥和公钥在代码中生成 SAML 响应。我不知道为什么会收到签名无效错误。如果您对我有任何建议，请告诉我。

如果您想检查我的 Golang 代码 - https://play.golang.org/p/U9dXZblTHG1

解决方案

1. 可以通过提供的 function 添加受众群体：

authnresponse := saml.newsignedresponse()
authnresponse.addaudiencerestriction("https://saml.salesforce.com")

1. 可以通过另一个 function 添加身份验证上下文：

authnContext := "urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified"
sessionIndex := "session_1"
authnResponse.AddAuthnStatement(authnContext,sessionIndex)

建议，尝试使用更成熟、成熟的库（例如 opensaml 或 simplesamlphp）来生成 saml 响应。如果这有效，但 go-saml 不起作用，那么您就可以继续下一步了。另一方面，如果您通过其他方法生成的断言也失败，那么很可能是您使用键或断言内容而不是库执行的操作出现问题。

今天关于《无法为 SAML 响应进行有效签名》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！