开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

ADFS sso和使用passport-saml Express“加密的SAML响应没有解密密钥”

ADFS SSO是指Active Directory Federation Services单点登录，它是一种基于标准的身份验证和授权解决方案，允许用户使用一组凭据（如用户名和密码）在多个应用程序之间进行身份验证。它通过使用安全令牌服务（Security Token Service）来实现身份验证和授权。

使用passport-saml Express进行加密的SAML响应没有解密密钥可能是由于以下原因：

密钥配置错误：在配置SAML响应加密时，需要确保正确配置了密钥和证书。密钥用于加密SAML响应，而证书用于验证SAML响应的真实性。检查密钥和证书的配置是否正确。
密钥丢失或不匹配：如果密钥丢失或与加密的SAML响应不匹配，将无法解密SAML响应。确保密钥的完整性和正确性，并与加密的SAML响应进行匹配。
密钥访问权限：确保应用程序具有访问密钥的权限。如果应用程序没有足够的权限来访问密钥，将无法解密SAML响应。

解决这个问题的方法包括：

检查密钥和证书的配置，确保其正确性和完整性。
确保密钥与加密的SAML响应匹配，并具有访问权限。
如果问题仍然存在，可以尝试重新生成密钥和证书，并更新配置。

腾讯云提供了一系列与身份验证和授权相关的产品，如腾讯云身份认证服务（CAM）和腾讯云访问管理（TAM）。这些产品可以帮助用户实现单点登录和身份验证的需求。具体产品介绍和链接地址如下：

腾讯云身份认证服务（CAM）：CAM是一种全面的身份和访问管理服务，可帮助用户管理和控制对腾讯云资源的访问权限。了解更多信息，请访问：https://cloud.tencent.com/product/cam
腾讯云访问管理（TAM）：TAM是一种身份和访问管理解决方案，可帮助用户实现单点登录和身份验证。了解更多信息，请访问：https://cloud.tencent.com/product/tam

请注意，以上提到的产品仅为示例，可能并非与ADFS SSO和passport-saml Express直接相关的产品。具体的解决方案和产品选择应根据实际需求和情况进行评估和选择。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

gitlab集成AD域控登录

GitLab是一个开源的代码托管和项目管理平台，它提供了一系列功能，如代码托管、CI/CD、issue跟踪等。GitLab支持多种认证方式，包括LDAP、OAuth、CAS等。本文将介绍如何在GitLab中集成AD域控登录。

04

如何将Spring Security 集成 SAML2 ADFS 实现SSO单点登录?

在学习之前，首先要了解SAML的概念，SAML主要有三个身份：用户/浏览器，服务提供商，身份提供商

01

使用SAML配置身份认证

Cloudera Manager支持安全性声明标记语言（SAML），这是一种基于XML的开放标准数据格式，用于在各方之间，尤其是在身份提供者（IDP）和服务提供者（SP）之间交换身份认证和授权数据。SAML规范定义了三个角色：Principal（通常是用户）、IDP和SP。在SAML解决的用例中，委托人（用户代理）向服务提供商请求服务。服务提供者从IDP请求并获取身份声明。基于此断言，SP可以做出访问控制决定，换句话说，它可以决定是否为连接的Principal执行某些服务。

03

关于 Node.js 的认证方面的教程（很可能）是有误的

原文地址：Your Node.js authentication tutorial is (probably) wrong 我搜索了大量关于 Node.js/Express.js 认证的教程。所有这些都是不完整的，甚至以某种方式造成安全错误，可能会伤害新用户。当其他教程不再帮助你时，你或许可以看看这篇文章，这篇文章探讨了如何避免一些常见的身份验证陷阱。同时我也一直在 Node/Express 中寻找强大的、一体化的解决方案，来与 Rails 的 devise 竞争。更新 (8.7): 在他们的教程中，R

09

在onelogin中使用OpenId Connect Authentication Flow

onelogin是一个优秀的SSO(Single Sign-On)服务提供商，我们可以借助onelogin的服务，轻松构建SSO程序。

07

为你的网站加一道防线，腾讯云服务器安装配置SimpleSAMLphp指南

SimpleSAMPLphp是一个开源的PHP身份验证应用程序，它作为服务提供者（SP）以及身份提供者（IdP）来为 SAML 2.0提供支持。

04

一文看懂认证安全问题总结篇

研究认证相关的安全问题也有一段实践了，今天就对认证相关的安全问题做个总结。其中涉及到一些前置概念这里无法一一讲解，可以在相关RFC文档或者链接中深入阅读，笔者已经把相关资料整理收录在参考链接。本文更多的是对认证相关的安全问题做个总结。另外文中引用了一些网络中的图片，由于来源不一，所以就不逐个标明，在此一并感谢。

02

【自然框架之SSO】基于 cookies和ajax跨域访问的 SSO

上一篇说了一下我的基本想法，感谢大家的评论，感谢大家的支持、建议、帮助。大家都提出自己的想法、观点，头脑风暴一下，大家都会有收获。对sso的想法又改进了一些，发现ajax跨域访问可以带入另一网站的cookies，这样的话原来的页面跳转就可以用ajax的跨域访问来实现，这样就避免了用户的页面跳来跳去的麻烦。不多说了，请看图：动态密钥。采用动态密钥的方式，即在用户登录sso后，如果第一次访问某网站，那么动态生成密钥，用于加密信息，然后把加密密钥缓存在sso服务器，把标识和密文发给客户浏览器，在周

08

SSO入门

SSO英文全称Single Sign On，单点登录。SSO是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。实现机制当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；根据用户提供的登录信息，认证系统进行身份校验，如果通过校验，应该返回给用户一个认证的凭据－－ticket；用户再访问别的应用的时候就会将这个ticket带上，作为自己认

从SSO认证缺陷到任意用户登录漏洞

最近在项目中碰到了app中SSO单点登录使用不当导致的任意用户登录漏洞，渗透过程中碰到不少JS加密处理，SIGN值生成，在与开发的对抗中还是觉得比较有意思，特此记录一下

01

共同父域下的单点登录

00

构建DRM系统的重要基石——EME、CDM、AES、CENC和密钥

点击上方“LiveVideoStack”关注我们 ▼扫描下图二维码或点击阅读原文▼ 了解音视频技术大会更多信息翻译、编辑：Alex 技术审校：刘姗、周亚桥本文来自OTTVerse，作者为Krishna Rao Vijayanagar。 DRM Easy-Tech #016# 任何想要理解DRM（Digital Rights Management，数字版权管理）的人都要遇到AES、CDM、CENC、EME等缩略词。对于初学者来说，这些词很容易混淆，但只有理解了它们，才能真正地理解DRM。我们将在本

03

完全图解 HTTPS

我们先来看下数据在互联网上数据传递可能会出现的三个比较有代表性的问题，其实后面提到的所有方法，都是围绕解决这三个问题而提出来的。

php中常用的Rc4/Des/AuthCode可逆加密函数

首先是AuthCode可逆加密函数，在dz论坛等各大程序的数据传输和登陆验证都有用到。

05

C# 中使用 RSA加解密算法

一、什么是RSA 　　RSA公开密钥密码体制。所谓的公开密钥密码体制就是使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。　　　　在公开密钥密码体制中，加密密钥（即公开密钥）PK是公开信息，而解密密钥（即秘密密钥）SK是需要保密的。加密算法E和解密算法D也都是公开的。虽然密钥SK是由公开密钥PK决定的，但却不能根据PK计算出SK。正是基于这种理论，1978年出现了著名的RSA算法，它通常是先生成一对RSA 密钥，其中之一是保密密钥，由用户保存；另一个为公开密

04

分片重加密实现区块链可分享型隐私

我们习惯把数据都存储在各种云服务器上，带来方便的同时也存在很多数据隐私泄露的隐患，绝大多数的云服务供应商并不完全值得信任，他们完全可以在未经用户允许的情况下擅自泄露用户的数据，用户甚至毫不知情。

00

分片重加密实现区块链可分享型隐私

我们习惯把数据都存储在各种云服务器上，带来方便的同时也存在很多数据隐私泄露的隐患，绝大多数的云服务供应商并不完全值得信任，他们完全可以在未经用户允许的情况下擅自泄露用户的数据，用户甚至毫不知情。

00

网站渗透测试安全检测登录认证分析

圣诞节很快就要到了，对渗透测试的热情仍然有增无减。我们SINE安全在此为用户认证登录安全制定一个全面的检测方法和要点Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

01

网站安全渗透测试检测认证登录分析

圣诞节很快就要到了，对渗透测试的热情仍然有增无减。我们SINE安全在此为用户认证登录安全制定一个全面的检测方法和要点Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

04

利用无线电波窃取计算机密码

根据安全研究人员的最新报告，电脑中的加密密钥可以通过无线电波而泄漏，攻击者只需要廉价的消费级装备即可获取密钥。在过去，已经有相关专家谈论到有可能通过分析无线电波和电磁辐射来窃取计算机中的敏感数据。而这种可能性终于得到了技术上的实现。来自Tel Aviv大学的研究人员Daniel Genkin、Lev Pachmanov、 Itamar Pipman和Eran Tromer以Genkin所做工作为基础，结合计算机解密过程中会产生CPU声音的事实，演示了如何通过分析这种CPU声音来破解4096位的RSA

09

Nest.js 从零到壹系列（三）：使用 JWT 实现单点登录

上一篇介绍了如何使用 Sequelize 连接 MySQL，接下来，在原来代码的基础上进行扩展，实现用户的注册和登录功能。

06

企业的用户持卡数据保护实践

当前环境，随着监管机构对数据保护检查力度日趋严格，用户数据保护意识日趋强烈，企业在提升业务竞争力的同时，需要投入更多目光在用户数据保护工作上。一方面，通过提升数据保护水平，避免发生数据泄露事件，可以增强品牌信誉度和竞争力；另外一方面，保护用户数据也是企业作为平台管理者应尽的法律义务。

02

开发中需要知道的相关知识点:什么是 OAuth?

从高层次开始，OAuth 不是API或服务：它是授权的开放标准，任何人都可以实施它。

04

OAuth 详解<1> 什么是 OAuth?

从高层次开始，OAuth 不是API或服务：它是授权的开放标准，任何人都可以实施它。

02

现代密码学概述_密码学概论

1、简述密码学与信息安全的关系密码学是信息安全的重要组成部分。伴随着网络的普及,计算机网络安全成为影响网络效能的重要问题,这就对网络的安全提出了更高的要求。一个安全的网络信息系统应当确保所传输信息的完整性、保密性、不可否认性等。目前保障通信和网络安全技术的种类很多,其中数据加密技术是保障信息安全的最核心的技术措施,信息加密也是现代密码学的主要组成部分。

04

前端该知道些密码学和安全上的事儿

在密码学的世界里加密之前的消息被称为明文 plaintext，加密之后的消息被称为密文 ciphertext，如果一段密文需要被解密再阅读，这个过程被称之为 decrypt，反之一段 plaintext 需要被加密，这个过程被称之为 encrypt。那么在处理这些问题的过程（解决加密/解密的步骤）通常被称之为算法，加密算法和解密算法被组合起来叫密码算法。

02

用了13年的wpa2协议出漏洞，新型KRACH攻击手法.

介绍研究人员发现WPA2的严重弱点，WPA2是保护所有现代受保护的Wi-Fi网络的协议。内的受害者的范围内的攻击者可以利用使用这些弱点.具体来说，攻击者可以使用这种新颖的攻击技术来读取先前假定为安全加密的信息。这可能被滥用以窃取敏感信息，如信用卡号，密码，聊天信息，电子邮件，照片等。该攻击与所有现代受保护的Wi-Fi网络相抗衡。根据网络配置，还可以注入和操作数据。例如，攻击者可能能够将ransomware或其他恶意软件注入网站。弱点在于Wi-Fi标准本身，而不是单独的产品或实现。因此，WPA2的正确实

05

Salesforce 集成篇零基础学习（一）Connected App

https://trailhead.salesforce.com/content/learn/modules/connected-app-basics

02

云加密：云端使用数据加密技术

虽然许多企业组织期望充分利用云计算，但数据安全仍然是需要操心的首要问题。然而，借助众多云解决方案，有望实现并享用云端的有效数据保护和强加密。随着商业监管和信息安全以不对称的步伐扩展，企业主管常常到头

06

Https协议

简单地来说，是基于ssl的http协议，依托ssl协议，https协议能够确保整个通信是加密的，密钥随机产生，并且能够通过数字证书验证通信双方的身份，以此来保障信息安全。其中证书包含了证书所代表一端的公钥，以及一些其所具有的基本信息，如机构名称，证书所作用域名、证书的数字签名等，通过数字签名能够验证证书的真实性。通信的内容使用对称加密方式进行加密，通信两端约定好通信密码后，通过公钥对密码进行加密传输，只有该公钥对应的私钥，也就是通信的另一端才能够解密获得通信密码，这样既保证了通信的安全，也使加密性能和时间成本可控。

01

Elasticsearch最佳实践：如何保证你的数据安全

这个周末，关注Elasticsearch动态的朋友应该都会被一条关于数据泄露的新闻吸引。虽然，这个事件中泄露的数据并非直接发生在Elasticsearch身上，但任何时候，我们都需要保持警醒，并掌握保证你的数据安全所需的知识，以及建立能够快速检测，并响应相关事件的流程机制，以减少损失。

这是我见过最强的单点登录认证系统！

MaxKey 单点登录认证系统，谐音马克思的钥匙寓意是最大钥匙，支持 OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM 等标准协议，提供简单、标准、安全和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)、RBAC 权限管理和资源管理等。

01

Cookie、Session、Token与JWT解析

根据以上流程可知，SessionID 是连接 Cookie 和 Session 的一道桥梁，大部分系统也是根据此原理来验证用户登录状态。

03

WiFi网络WPA2 KRACK漏洞分析报告「建议收藏」

安全研究员Mathy Vanhoef发现的WPA2协议的KRA（Key Reinstallation Attacks）漏洞，利用WPA2协议标准加密密钥生成机制上的设计缺陷，四次握手协商加密密钥过程中第三个消息报文可被篡改重放，导致在用密钥被重新安装。

01

mac下的浏览器cookie盗取

当我们通过钓鱼等方式拿到单位员工的个人PC机时，通常需要对主机进行信息收集。而浏览器是一个重要的信息收集点。我们可以收集历史记录、书签寻找靶机。窃取密码登录SSO、内部OA等等关键系统。但是在MAC下，因为系统的安全性，想要获取密码存在比较大的困难。在macOS上，Google Chrome 的加密密钥存储在 Keychain 中，需要使用用户的明文密码解锁在Windows上，Google Chrome 版本 80+ 使用使用 DPAPI 加密的 AES-256 密钥加密 cookie。解密时不需密码。 windows下密码和cookie盗取比较容易，一般上工具（HackBrowserData）就行，这里不多说。mac下的浏览器密码不好获取。mac下因为系统安全性受限，使用相关工具会弹输入用户密码的框。看下面的弹窗提示，一下就暴露了，一般人也不会点允许

06

半小时搞懂 HTTP、HTTPS和HTTP2

HTTP 超文本传输协议是位于 TCP/IP 体系结构中的应用层协议，它是万维网的数据通信的基础。

04

你的Wi-Fi 还安全吗？全球重大漏洞WPA2 KRACK 详细分析报告

近日，Wi-Fi加密协议被曝光存在重大安全漏洞，用于保护Wi-Fi网络安全的WPA2 安全加密协议已被黑客破解。这种被称作“Krack”(密钥重装攻击)攻击意味着用户连接的绝大多数Wi-Fi已经不安全了，包括家中的路由器Wi-Fi，都存在被盗号的风险。攻击者可通过此漏洞获取万能密钥来访问WPA2网络，从而窃听用户的通讯信息。

01

jsonwebtoken生成与解析token

之前写了一篇介绍token的文章：简单理解Token机制，token算法自己设计的，使用了随机算法，导致token无法进行反向解密。所以我当初使用了redis进行存储token，前端调用API时需要携带token进行身份验证，token有效期48小时。但是我们有说过：sessionid是需要空间进行存储的，但是token在服务器是可以不需要存储用户信息的。所以我们能不能做到用户注册登陆成功给用户生成一个token返回给客户端，等前端携带token调用API时我们直接解析token看能否解析出用户数据来决定用户是否有接口权限呢？事实上NodeJS提供的一个npm包：jsonwebtoken就可以实现token的生成与反向解密出用户数据。接下来我们看看jsonwentoken如何进行使用。

02

哥斯拉Godzilla运行原理探寻

前段时间在这里看到这个工具：哥斯拉Godzilla。团队小伙伴对称感兴趣，特意下载下来分析一下。

02

KRACK官网翻译「建议收藏」

由mec-DistriNet, KU Leuven 的 Mathy Vanhoef 发布

03

浅谈HTTP与HTTPS

HTTP（HyperText Transfer Protocol：超文本传输协议）是一种用于分布式、协作式和超媒体信息系统的应用层协议。简单来说就是一种发布和接收 HTML 页面的方法，被用于在 Web 浏览器和网站服务器之间传递信息。

01

边缘认证和与令牌无关的身份传播

翻译自Edge Authentication and Token-Agnostic Identity Propagation。通过本文可以了解到Netflix是如何通过将认证转移到边缘设备来降低系统内容内部的认证流程，以及如何使用统一的认证结构支持系统对身份信息的需求。

01

Web 单点登录系统

对于企业内部系统来说，CAS系统是一个应用最广的开源单点登陆实现了，其实现模仿Kerberos的一些概念，例如KDC、TGS等等，都是来自于Kerberos。具体可参见用CAS原理构建单点登录。互联网发展之后，多个网站需要统一认证，业界需要适合互联网的单点登陆技术。 2002年，微软提出了passport服务，由微软统一提供帐号和认证服务，理所当然，大家都不愿意受制于微软，但是很认同微软提出WEB SSO理念，于是产生了Liberty Alliance，另外指定一套标准，这套标准发展起来就是SAML（安全

小侃 SQL加密和性能

细说SQL Server中的加密简介加密是指通过使用密钥或密码对数据进行模糊处理的过程。在SQL Server中，加密并不能替代其他的安全设置，比如防止未被授权的人访问数据库或是数据库实例所在的Windows系统，甚至是数据库所在的机房，而是作为当数据库被破解或是备份被窃取后的最后一道防线。通过加密，使得未被授权的人在没有密钥或密码的情况下所窃取的数据变得毫无意义。这种做法不仅仅是为了你的数据安全，有时甚至是法律所要求的（像国内某知名IT网站泄漏密码这种事在中国可以道歉后不负任何责任了事，在米国

06

读《图解密码技术》(一):密码

以前，对一些密码技术，虽然懂得怎么用，但对其原理却一直不甚了解，比如，用公钥加密后，为什么用私钥就可以解密？DES和AES加密时为什么需要一个初始化向量？想要了解这些密码技术的基本原理，而最近买书时看到了《图解密码技术》这本书，刚好可以解答到我的这些问题，于是，就买回来看了。

03

【区块链关键技术】-“密码学”

之前本人研究的东西大多偏向于智能合约和共识算法、跨链等一些知识，确实也是这俩比较值得研究一些，在此基础上区块链中的相关关键技术还有密码学相关知识和分布式存储相关的一些知识。

02

Elasticsearch最佳实践：如何保证你的数据安全

作者：李捷，Elastic首席云解决方案架构师关注Elasticsearch动态的朋友应该都会被一条关于数据泄露的新闻吸引。虽然，这个事件中泄露的数据并非直接发生在Elasticsearch身上，但任何时候，我们都需要保持警醒，并掌握保证你的数据安全所需的知识，以及建立能够快速检测，并响应相关事件的流程机制，以减少损失。一直在发生的数据泄露无需强调，其实类似的事情一直都在发生：历年的重大数据泄露事故而每当我们看到类似的新闻，多数人的第一反应是，或者说打趣调侃的论调就是一个“大四实习生”程序员，因

02

看看人家的单点登录认证系统，确实清新优雅！

MaxKey 单点登录认证系统，谐音马克思的钥匙寓意是最大钥匙，支持 OAuth 2.x/OpenID Connect、SAML 2.0、JWT、CAS、SCIM 等标准协议，提供简单、标准、安全和开放的用户身份管理(IDM)、身份认证(AM)、单点登录(SSO)、RBAC 权限管理和资源管理等。

00

单点登录协议有哪些？CAS、OAuth、OIDC、SAML有何异同？

单点登录实现中，系统之间的协议对接是非常重要的一环，一般涉及的标准协议类型有 CAS、OAuth、OpenID Connect、SAML，本文将对四种主流 SSO协议进行概述性的介绍，并比较其异同，读者亦可按图索骥、厘清关键概念。

05

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭