Недавно я унаследовал проект, который использует Spring SAML 2.0, но код, похоже, не проверяет сертификат X509. Я вижу, что он проверяет метки времени и значения подписи, но не сам сертификат. У меня возникли проблемы с поиском документации, в которой четко объясняется процесс проверки сертификата, есть ли у кого-либо здесь место, где я могу найти информацию, которую я ищу, или иметь возможность объяснить ее.Spring SAML 2.0
В спецификации SAML 2 указывается, что поставщик услуг (то есть потребительское приложение) должен проверить подпись, он не требует, чтобы SP выполнял какую-либо проверку в самом сертификате, то есть не требуется проверка для истечения срока действия сертификата или действительности цепи сертификатов и т. д. Фактически спецификация SAML рекомендует использовать долгоживущие самозаверяющие сертификаты, неактивные сертификаты или сертификаты, подписанные CA, не рекомендуется. Для получения дополнительной информации см. Статью this.
Это объясняет, почему Spring SAML (и большинство реализаций SAML2) не будет выполнять проверку на сертификате x509
Спасибо за ответ. Я ценю помощь. – peekay
Вы имеете в виду, что Spring SAML не проверяет действия сертификата и т.д.? –
поэтому в моем тестировании я заменил существующий сертификат истекшим сертификатом, и я все еще мог получить доступ к этой странице. если я изменю отметки времени или целевой URL или большинство других параметров, могущих заставить его сбой. Истекший сертификат не вызывает сбоев. Я предполагаю, что в коде отсутствует какая-то деталь. – peekay
Срок действия сертификата не проверяется с помощью профиля безопасности metaIOP по умолчанию, если вы хотите, чтобы эти данные были проверены, вместо этого используйте профиль безопасности pkix. –