Comment éviter les informations sensibles comme la clé de données de session, l'état du relais, etc. dans le cadre des paramètres de requête dans WSO2 IS

Question

J'utilise la version WSO2 IS 5.3.0. Lorsque j'ouvre la page de connexion, je vois plus d'informations dans le paramètre de requête de l'URL. Comment éviter que cette information ne soit transmise à travers des paramètres de requête.

Par exemple: https://sample.com/authenticationendpoint/login.do?RelayState=https://sample.com/callback?client_name=Saml2Client&commonAuthCallerPath=/samlsso&forceAuth=false&passiveAuth=false&tenantDomain=carbon.super&sessionDataKey=11122234-o4df-5f6c-333a-23jghruy54jf&relyingParty=temp&type=samlsso&sp=temp&isSaaSApp=true&authenticators=BasicAuthenticator:LOCAL

Answer 1

Aucun des paramètres ci-dessus sont des informations sensibles et utilisées pour transmettre des informations d'état à travers la redirection du navigateur.

On pourrait se douter que "sessionDataKey" porterait des informations sensibles. Cependant, la durée de vie de cette opération est terminée une fois le flux d'authentification terminé avec Succès ou Échec.

Les informations sensibles dans les paramètres d'URL, sont les paramètres qui peuvent être récupérés à partir des journaux de l'intermédiaire, et peuvent être utilisés pour forger une nouvelle demande valide. Aucun de ces paramètres ne peut être utilisé à cette fin.