【问题标题】:Spring SAML 2.0春季 SAML 2.0
【发布时间】:2012-04-28 02:02:27
【问题描述】:

我最近继承了一个使用 Spring SAML 2.0 的项目,但代码似乎没有验证 X509 证书。我可以看到它正在验证时间戳和签名值,而不是证书本身。我在查找清楚解释验证证书的过程的文档时遇到了一些麻烦,这里有没有人可以找到我想要的信息的位置或有能力解释它。

【问题讨论】:

  • 你的意思是 Spring SAML 不验证证书的有效性等?
  • 所以在我的测试中,我用过期的证书替换了现有的证书,我仍然能够访问该页面。如果我更改时间戳或目标 URL 或大多数其他参数,我可以强制它失败。但是,过期的证书不会导致失败。我假设我在代码中遗漏了一些细节。
  • 证书有效性不会使用默认的 metaIOP 安全配置文件进行检查,如果您希望验证这些,请改用 pkix 安全配置文件。

标签: spring-security saml-2.0 spring-saml


【解决方案1】:

SAML 2 规范只是声明服务提供者(即消费应用程序)应该验证签名,它不要求 SP 对证书本身执行任何验证,即不需要检查证书到期或有效期证书链等。事实上,SAML 规范建议不鼓励使用长期自签名证书、短期证书或由 CA 签名的证书。有关详细信息,请参阅this 文章。

这解释了为什么 Spring SAML(以及大多数 SAML2 实现)不会对 x509 证书执行验证

【讨论】:

    猜你喜欢
    • 2014-11-13
    • 1970-01-01
    • 1970-01-01
    • 2016-04-28
    • 2017-10-06
    • 2016-01-30
    • 2014-10-03
    • 2015-01-10
    • 2013-12-22
    相关资源
    最近更新 更多