【问题标题】:Passing signature public key along with the signature将签名公钥与签名一起传递
【发布时间】:2013-06-10 17:46:08
【问题描述】:

谁能解释一下在 SAML 2.0 中实践的将公钥与签名一起传递的感觉?据我所知,需要签名以确保消息未被他人截获,因此我需要确保用于验证签名的公钥与发件人有关,在 SAML 2.0 的情况下,我可以使用预先元数据。但是,如果我在运行时从消息中获取公钥,我怎么知道它没有被拦截并且包含其他拦截器的公钥?

【问题讨论】:

    标签: encryption signature


    【解决方案1】:

    您不仅要验证公钥是否与签名匹配,还要验证公钥本身是否有效。这通常是通过证书链完成的,其中链中的每个证书基本上都是一个签名的公钥。您需要确保每个证书都是有效的(没有过期,没有被吊销)并且您信任每个证书的签名者。小心你信任的人,注意撤销。

    【讨论】:

    • 好的,我明白你的意思,但我担心验证公钥是否有效可能需要相当长的时间,它是对外部资源的 http 请求来检查它,对吗?如果我为每个传入的 SAML 2.0 断言都设置它,性能会受到影响
    猜你喜欢
    • 1970-01-01
    • 2013-05-28
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2013-08-17
    • 2012-07-26
    • 2011-12-27
    • 1970-01-01
    相关资源
    最近更新 更多