spring security saml使用哪个密钥?

【问题标题】:Which key is used by spring security saml?spring security saml使用哪个密钥?
【发布时间】:2015-03-04 10:56:23
【问题描述】:

我正在使用 Spring Security 的开放式 saml 库进行身份验证。

我的服务提供者是我用 spring saml 配置的 spring web 应用程序。 我的 IDP 是 OpenSSO。

在 spring-security-saml2-core 库中,从不调用 JKSKeyManager,但会调用 KeyManager。

那么库是使用 .jks 密钥库文件作为其密钥还是使用“apollo/nalle123”作为其密钥?他们有什么区别?

【问题讨论】:

    标签: spring-security spring-saml opensso


    【解决方案1】:

    org.springframework.security.saml.key.KeyManager 是一个接口,org.springframework.security.saml.key.JKSKeyManager 是它的实现。因此,如果您看到对KeyManager 的调用,在默认配置中,这意味着他们正在访问JKSKeyManager

    apollo/nalle123 密钥存储在.jks 文件中(示例应用程序中的samlKeystore.jks),配置为供KeyManager 使用。 Apollo.jks 文件中密钥的别名,nalle123 是其密码。

    Spring SAML 结合了 KeyManager 中提供的密钥和 SAML 元数据中提供的密钥的使用。

    【讨论】:

    • 谢谢弗拉基米尔。但是,如果我将 OpenSSO 上的 .jks 文件更改为来自 OpenSSO 的另一个实例,同时保持我的 SP 上的 .jks 文件相同。我仍然能够成功验证。特别是在 spring-security-saml 中 AbstractProfileBase 的 Line271 处,它成功验证。有什么我想念的吗?它是否应该检测到 IDP 和 SP 的 .jks 密钥不再相同?
    • 您如何将 IDP 元数据导入您的 SP?您发送给 SP 的消息是否经过数字签名?
    • 我将 OpenSSO 生成的 idp.xml 和 keystore.jks 文件复制到我的 SP 的 war 文件中。是的,从 IDP 发送到 SP 的 SAML 断言已签名(X509 证书)。也许我误解了 .jsk 文件的用途,它是否带有密钥或者我们必须用密钥填充它?
    • Spring SAML 中的默认 jks 带有一个别名为“apollo”的私钥。此密钥用于通过 Spring SAML 创建数字签名。元数据包含 IDP 的公钥,在 SP 中用于验证 IDP 创建的签名。您不应将 jks 从 OpenSSO 复制到 Spring SAML,因为它包含您的 SP 不应访问的 OpenSSO 的私钥。我认为通读 OpenSSO 和 Spring SAML 的手册将帮助您更好地了解 IDP 和 SP 之间的信任是如何建立和配置的。 SAML 规范也包含很好的信息。
    猜你喜欢
    • 1970-01-01
    • 2015-01-02
    • 2015-09-23
    • 2023-03-11
    • 1970-01-01
    • 1970-01-01
    • 2014-09-14
    • 2014-12-25
    • 2017-05-26
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode