格力vrv空調(diào)故障代碼e6(格力空調(diào)rf26故障代碼)

格力vrv空調(diào)故障代碼e6(格力空調(diào)rf26故障代碼)

前沿拓展：

---

SAML2 綜述

安全斷言標(biāo)記語(yǔ)言（英語(yǔ)：Security Assertion Markup Language，簡(jiǎn)稱SAML，發(fā)音 samel）是一個(gè)基于 XML 的開(kāi)源標(biāo)準(zhǔn)數(shù)據(jù)格式，它在當(dāng)事方之間交換身份驗(yàn)證和授權(quán)數(shù)據(jù)，尤其是在身份提供者和服務(wù)提供者之間交換。SAML2.0 可以實(shí)現(xiàn)基于網(wǎng)絡(luò)跨域的單點(diǎn)登錄（SSO）， 以便于減少向一個(gè)用戶分發(fā)多個(gè)身份驗(yàn)證令牌的管理開(kāi)銷。

SAML 主體

在 SAML 協(xié)議中，涉及兩個(gè)主體：

Service Provider 服務(wù)提供方，簡(jiǎn)稱 SP。什么是服務(wù)提供方？例如：阿里云控制臺(tái)、騰訊云控制臺(tái)、AWS 控制臺(tái)這些都是服務(wù)提供方。

Identity Provider 身份提供方，簡(jiǎn)稱 IdP。什么是身份提供方？Authing 可以作為身份提供方，身份提供方能夠向 SP 發(fā)送身份斷言，所謂身份斷言就是由 Authing 簽發(fā)的，可以標(biāo)識(shí)某個(gè)人身份的 Token，只不過(guò)，在 SAML 協(xié)議中，這個(gè) Token 的格式是 XML 形式的。還有一些其他的身份提供方，例如 Okta、SSOCircle、Auth0，他們都可以向 SP 返回身份斷言。

兩個(gè)主體通過(guò)用戶的瀏覽器進(jìn)行信息交換。方式上，SP 可以返回帶參數(shù)的重定向 HTTP 響應(yīng)，讓用戶立刻通過(guò)參數(shù)將信息發(fā)給 IdP。而 IdP 會(huì)返回一個(gè)表單，同時(shí)還有一段立即提交表單的 JS 代碼，從而讓用戶立刻將信息發(fā)給 SP。

總結(jié)一下，SP 提供服務(wù)，需要知道用戶的身份，就需要向 IdP 詢問(wèn)。IdP 知道用戶的身份，當(dāng)用戶在 IdP 登錄成功，IdP 就將用戶的身份以 SAML 斷言的形式發(fā)給 SP。SP 信任 IdP 發(fā)來(lái)的身份斷言，從而賦予該用戶在 SP 的相關(guān)權(quán)限。

SAML Request

當(dāng)用戶的身份無(wú)法鑒定時(shí)，SP 會(huì)向 IdP 發(fā)送 SAML Request 信息（通過(guò)瀏覽器發(fā)送），請(qǐng)求 IdP 來(lái)鑒定用戶身份。

由阿里云控制臺(tái)發(fā)起一次 SAML Request 的形式是這樣的：

GET https://core.authing.cn/v2/api/samlidp/5e10927e4ecfd464fb4edaf6?SAMLRequest=fZJLT%2BMwFIX3%2FIrI%2B7yct9Wk6kyFQGJERQKL2RnnJnWV2Blfp2L%2BPaGlDLOApaV7vnN0jlfrl3FwjmBQalWS0AuIA0roVqq%2BJI%2FNtZuTdXW1Qj4OdGKb2e7VA%2FyZAa2zQQRjF91PrXAewdRgjlLA48NdSfbWTsh8H2WvpPL4IP%2FOyhN69N9Qfl3fE2e7UKTi9mR9EQhtwOOLz5LAE8o%2FUp9P8qRyZTv5CYRBQTOIQXRtnMbdcwwt71LiXGsj4JSwJB0fEIhzuy0Jp9AXgvaHgwzzPA%2FjfXagbRYlebeP%2BmI5wh1HlEf4J0Oc4Vah5cqWhAY0cIPCpXkTRiwoWJJ5eZH%2BJs7OaKuFHn5IdS5sNoppjhKZ4iMgs4LVm193jHoBez4fIbtpmp27u68b4jxdiqdvxS9TKGTnqr9nTe%2FGpDovw06JzWfC9wB%2B2Y5UXy8VRlmcpkWUpUlGY5p8TLfyP7tW78%2F%2Fv0f1Cg%3D%3D

(提示：代碼可向右滑動(dòng))

SAMLRequest 參數(shù)通過(guò) query 在 URL 中發(fā)送給 IdP，SAMLRequest 的內(nèi)容如下：

fZJLT+MwFIX3/IrI+7yct9Wk6kyFQGJERQKL2RnnJnWV2Blfp2L+PaGlDLOApaV7vnN0jlfrl3FwjmBQalWS0AuIA0roVqq+JI/NtZuTdXW1Qj4OdGKb2e7VA/yZAa2zQQRjF91PrXAewdRgjlLA48NdSfbWTsh8H2WvpPL4IP/OyhN69N9Qfl3fE2e7UKTi9mR9EQhtwOOLz5LAE8o/Up9P8qRyZTv5CYRBQTOIQXRtnMbdcwwt71LiXGsj4JSwJB0fEIhzuy0Jp9AXgvaHgwzzPA/jfXagbRYlebeP+mI5wh1HlEf4J0Oc4Vah5cqWhAY0cIPCpXkTRiwoWJJ5eZH+Js7OaKuFHn5IdS5sNoppjhKZ4iMgs4LVm193jHoBez4fIbtpmp27u68b4jxdiqdvxS9TKGTnqr9nTe/GpDovw06JzWfC9wB+2Y5UXy8VRlmcpkWUpUlGY5p8TLfyP7tW78//v0f1Cg==

(提示：代碼可向右滑動(dòng))

base64 decode + inflate 解碼后（https://www.samltool.com/decode.php）

<?xml version=&34;1.0&34; encoding=&34;UTF8&34;?><saml2p:AuthnRequest AssertionConsumerServiceURL=&34;https://signin.aliyun.com/saml/SSO&34; Destination=&34;https://core.authing.cn/v2/api/samlidp/5e10927e4ecfd464fb4edaf6&34; ForceAuthn=&34;false&34; ID=&34;a2eg9c2gjji188814h7j2d7358fh3g9&34; IsPassive=&34;false&34; IssueInstant=&34;20200928T13:09:57.896Z&34; ProtocolBinding=&34;urn:oasis:names:tc:SAML:2.0:bindings:HTTPPOST&34; Version=&34;2.0&34; xmlns:saml2p=&34;urn:oasis:names:tc:SAML:2.0:protocol&34;> <saml2:Issuer  xmlns:saml2=&34;urn:oasis:names:tc:SAML:2.0:assertion&34;>https://signin.aliyun.com/1374669376572425/saml/SSO </saml2:Issuer></saml2p:AuthnRequest>

(提示：代碼可向右滑動(dòng))

SAML Response

IdP 收到 SAML Request 后，會(huì)彈出登錄框?qū)τ脩羯矸葸M(jìn)行認(rèn)證：

當(dāng)用戶在 IdP 完成登錄后，SAML IdP 將用戶身份斷言發(fā)送給 SP（放在表單中，通過(guò)瀏覽器 POST 請(qǐng)求發(fā)送）。SAML IdP 的響應(yīng)內(nèi)容如下：

<form id=&34;samlform&34; method=&34;post&34; action=&34;https://signin.aliyun.com/saml/SSO&34; autocomplete=&34;off&34;>  <input    type=&34;hidden&34;    name=&34;SAMLResponse&34;    id=&34;samlresponse&34;    value=&34;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&34;  />  <input    type=&34;hidden&34;    name=&34;RelayState&34;    id=&34;relaystate&34;    value=&34;&34;  /></form><script type=&34;text/javascript&34;>  (function() {    document.forms[0].submit();  })();</script>

(提示：代碼可向右滑動(dòng))

沒(méi)有什么神秘的，就是一個(gè) HTML form 表單和一段立即提交該表單的 JS 代碼。其中的 SAML Response 信息如下：

base64 decode + inflate 解碼后

(https://www.samltool.com/decode.php)

<samlp:Response xmlns:samlp=&34;urn:oasis:names:tc:SAML:2.0:protocol&34; xmlns:saml=&34;urn:oasis:names:tc:SAML:2.0:assertion&34; ID=&34;_62b177c1a91942f6958647f13b71081f&34; Version=&34;2.0&34; IssueInstant=&34;20200928T13:30:31.788Z&34; Destination=&34;https://signin.aliyun.com/saml/SSO&34; InResponseTo=&34;a49f8edi31cj0a2a459g0331c3d9c10&34;> <saml:Issuer>https://20nqulvoqpbp.authing.cn</saml:Issuer> <samlp:Status>  <samlp:StatusCode Value=&34;urn:oasis:names:tc:SAML:2.0:status:Success&34;/> </samlp:Status> <saml:Assertion  xmlns:xsi=&34;http://www.w3.org/2001/XMLSchemainstance&34;  xmlns:xs=&34;http://www.w3.org/2001/XMLSchema&34;  xmlns:saml=&34;urn:oasis:names:tc:SAML:2.0:assertion&34; ID=&34;_fae95b47cbf34a20add099d856b4124e&34; Version=&34;2.0&34; IssueInstant=&34;20200928T13:30:31.788Z&34;>  <saml:Issuer>https://20nqulvoqpbp.authing.cn</saml:Issuer>  <ds:Signature   xmlns:ds=&34;http://www.w3.org/2000/09/xmldsig&34;>   <ds:SignedInfo>    <ds:CanonicalizationMethod Algorithm=&34;http://www.w3.org/2001/10/xmlexcc14n&34;/>    <ds:SignatureMethod Algorithm=&34;http://www.w3.org/2000/09/xmldsigrsasha1&34;/>    <ds:Reference URI=&34;_fae95b47cbf34a20add099d856b4124e&34;>     <ds:Transforms>      <ds:Transform Algorithm=&34;http://www.w3.org/2000/09/xmldsigenvelopedsignature&34;/>      <ds:Transform Algorithm=&34;http://www.w3.org/2001/10/xmlexcc14n&34;/>     </ds:Transforms>     <ds:DigestMethod Algorithm=&34;http://www.w3.org/2000/09/xmldsigsha1&34;/>     <ds:DigestValue>/ol6lC1j+smdonl48+lJTzUeqnw=</ds:DigestValue>    </ds:Reference>   </ds:SignedInfo>   <ds:SignatureValue>awzcE0dp8BzTW4b4PFaRX7NKOC95bLqOnPeAKI/CsDfGaJdmzCK0fVliz+e6XzBluKfBpQtrQonKl7k2vVNaPFx9PpSVzwK91HLGvYQ0qB36uA4HFvm/3M31DL3ZRFPRq68ZaVAG6lMVd0YbiInVv9FWwsi+6jEpF+PRlmkoqAI=</ds:SignatureValue>   <ds:KeyInfo>    <ds:X509Data>     <ds:X509Certificate>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</ds:X509Certificate>    </ds:X509Data>   </ds:KeyInfo>  </ds:Signature>  <saml:Subject>   <saml:NameID Format=&34;urn:oasis:names:tc:SAML:1.1:nameidformat:unspecified&34;>yezuwei@authing.onaliyun.com</saml:NameID>   <saml:SubjectConfirmation Method=&34;urn:oasis:names:tc:SAML:2.0:cm:bearer&34;>    <saml:SubjectConfirmationData NotOnOrAfter=&34;20200928T14:30:31.788Z&34; Recipient=&34;https://signin.aliyun.com/saml/SSO&34; InResponseTo=&34;a49f8edi31cj0a2a459g0331c3d9c10&34;/>   </saml:SubjectConfirmation>  </saml:Subject>  <saml:Conditions NotBefore=&34;20200928T13:30:31.788Z&34; NotOnOrAfter=&34;20200928T14:30:31.788Z&34;>   <saml:AudienceRestriction>    <saml:Audience>https://signin.aliyun.com/1374669376572425/saml/SSO</saml:Audience>   </saml:AudienceRestriction>  </saml:Conditions>  <saml:AuthnStatement AuthnInstant=&34;20200928T13:30:31.888Z&34; SessionIndex=&34;ooeumcq6eHjddr1H3Fyzou7CsOGTsNl&34;>   <saml:AuthnContext>    <saml:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified</saml:AuthnContextClassRef>   </saml:AuthnContext>  </saml:AuthnStatement>  <saml:AttributeStatement>   <saml:Attribute Name=&34;email&34; NameFormat=&34;urn:oasis:names:tc:SAML:2.0:attrnameformat:basic&34;>    <saml:AttributeValue     xmlns:xs=&34;http://www.w3.org/2001/XMLSchema&34;     xmlns:xsi=&34;http://www.w3.org/2001/XMLSchemainstance&34; xsi:type=&34;xs:string&34;>yezuwei@authing.cn    </saml:AttributeValue>   </saml:Attribute>   <saml:Attribute Name=&34;name&34; NameFormat=&34;urn:oasis:names:tc:SAML:2.0:attrnameformat:basic&34;>    <saml:AttributeValue     xmlns:xs=&34;http://www.w3.org/2001/XMLSchema&34;     xmlns:xsi=&34;http://www.w3.org/2001/XMLSchemainstance&34; xsi:type=&34;xs:string&34;/>    </saml:Attribute>    <saml:Attribute Name=&34;username&34; NameFormat=&34;urn:oasis:names:tc:SAML:2.0:attrnameformat:basic&34;>     <saml:AttributeValue      xmlns:xs=&34;http://www.w3.org/2001/XMLSchema&34;      xmlns:xsi=&34;http://www.w3.org/2001/XMLSchemainstance&34; xsi:type=&34;xs:string&34;>yezuwei@authing.cn     </saml:AttributeValue>    </saml:Attribute>    <saml:Attribute Name=&34;phone&34; NameFormat=&34;urn:oasis:names:tc:SAML:2.0:attrnameformat:basic&34;>     <saml:AttributeValue      xmlns:xs=&34;http://www.w3.org/2001/XMLSchema&34;      xmlns:xsi=&34;http://www.w3.org/2001/XMLSchemainstance&34; xsi:type=&34;xs:string&34;>null     </saml:AttributeValue>    </saml:Attribute>   </saml:AttributeStatement>  </saml:Assertion> </samlp:Response>

(提示：代碼可向右滑動(dòng))

這段內(nèi)容就是用戶的身份斷言，也就是用戶的 Token，只不過(guò)這個(gè) Token 通過(guò) XML 格式傳遞。

讀到這里，你可能會(huì)對(duì) SP、IdP 如何處理這些冗長(zhǎng)的 XML 信息感到困惑。Authing 會(huì)解決這些繁瑣的處理，而你只需關(guān)注如何正確地配置 Authing IdP，與 SAML SP 進(jìn)行通信。

SAML2 流程

本文為讀者講述 SAML 中，SP、IdP、瀏覽器三個(gè)實(shí)體之間數(shù)據(jù)交互的流程。

SAML 協(xié)議中涉及到的主體

使用 SAML 協(xié)議進(jìn)行身份認(rèn)證時(shí)，涉及到以下三個(gè)主體

瀏覽器：SP 和 IdP 借助瀏覽器互相通信SP：資源提供方IdP：身份認(rèn)證提供方

發(fā)起 SAML 登錄到登錄成功的整個(gè)過(guò)程

用戶試圖登錄 SP 提供的應(yīng)用。SP 生成 SAML Request，通過(guò)瀏覽器重定向，向 IdP 發(fā)送 SAML Request。IdP 解析 SAML Request 并將用戶重定向到認(rèn)證頁(yè)面。用戶在認(rèn)證頁(yè)面完成登錄。IdP 生成 SAML Response，通過(guò)對(duì)瀏覽器重定向，向 SP 的 ACS 地址返回 SAML Response，其中包含 SAML Assertion 用于確定用戶身份。SP 對(duì) SAML Response 的內(nèi)容進(jìn)行檢驗(yàn)。用戶成功登錄到 SP 提供的應(yīng)用。

SP 與 IdP 之間通信方式

SP 與 IdP 之間的通信方式分為 HTTP Redirect Binding、HTTP POST Binding、HTTP Artifact Binding。每種方式在不同的階段會(huì)用不同類型的 HTTP 與對(duì)方通信。

HTTP Redirect Binding

SP 通過(guò)重定向 GET 請(qǐng)求把 SAML Request 發(fā)送到 IdP，IdP 通過(guò)立即提交的 Form 表單以 POST 請(qǐng)求的方式將 SAML Response 發(fā)到 SP。

HTTP POST Binding

IdP 通過(guò)立即提交的 Form 表單以 POST 請(qǐng)求的方式將 SAML Request 發(fā)到 SP。IdP 通過(guò)立即提交的 Form 表單以 POST 請(qǐng)求的方式將 SAML Response 發(fā)到 SP。

HTTP Artifact Binding

SP、IdP 雙方只通過(guò)瀏覽器交換 SAML Request、SAML Response 的索引編號(hào)，收到編號(hào)后，在后端請(qǐng)求對(duì)方的 Artifact Resolution Service 接口來(lái)獲取真正的請(qǐng)求實(shí)體內(nèi)容。從而避免 SAML Request、SAML Response 暴露在前端。

拓展知識(shí)：