【发布时间】:2012-04-28 02:02:27
【问题描述】:
我最近继承了一个使用 Spring SAML 2.0 的项目,但代码似乎没有验证 X509 证书。我可以看到它正在验证时间戳和签名值,而不是证书本身。我在查找清楚解释验证证书的过程的文档时遇到了一些麻烦,这里有没有人可以找到我想要的信息的位置或有能力解释它。
【问题讨论】:
-
你的意思是 Spring SAML 不验证证书的有效性等?
-
所以在我的测试中,我用过期的证书替换了现有的证书,我仍然能够访问该页面。如果我更改时间戳或目标 URL 或大多数其他参数,我可以强制它失败。但是,过期的证书不会导致失败。我假设我在代码中遗漏了一些细节。
-
证书有效性不会使用默认的 metaIOP 安全配置文件进行检查,如果您希望验证这些,请改用 pkix 安全配置文件。
标签: spring-security saml-2.0 spring-saml