我正在阅读 spring 安全 saml 文档站点:http : //docs.spring.io/autorepo/docs/spring-security-saml/1.0.x-SNAPSHOT/reference/htmlsingle/#configuration-security-profiles-pkix
我只是很难理解 pkix 配置文件的工作原理。
据我了解,当 idp 发回 saml 响应时,它会对响应进行签名以显示消息的有效性。
在 metaiop 中,SP 将使用来自 idp 元数据的密钥来验证响应时的签名。
Pkix 似乎是 metaiop 的扩展,它会做 metaiop 的检查,还有这个:
在一个远程实体的扩展元数据的 trustKeys 集中指定的所有密钥,或者当属性为 null 时密钥库中可用的所有密钥(默认值)
只是不明白上面的说法,这里提到的key store是什么?本地密钥库?
我希望有人可以为我澄清。
文档中引用的密钥库是示例应用程序的 samlKeystore.jks。
虽然 MetaIOP 需要具有将用于签名的证书的确切版本,但 PKIX 使用基于受信任证书颁发机构的验证(就像 Web 浏览器所做的那样) - 这意味着您不需要拥有用于签名的确切证书提前 - 只要它是由您信任的 CA 之一颁发的。PKIX 还验证例如证书有效期(以及 RFC 5280 的认证路径验证中的其他检查 - https://en.wikipedia.org/wiki/Certification_path_validation_algorithm)。这些是关键的区别。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句