根据我的阅读,我们使用证书和公钥来加密断言,而要解密断言,我们必须使用私钥来解密它。我不想与我的客户端共享我的私钥,有其他方法不提供私钥吗?我想保留私钥,加密我的断言并将响应提供给我的客户端,客户端将使用公钥来解密我的消息,这种想法有效吗?
谢谢。
私钥只是一个很长的数字,用于解密。公钥只是一个很长的数字,用于加密。只有相应的私钥才能解密公钥加密的内容。
证书(X509公共证书(将公钥和私钥封装在身份信息中。证书由证书颁发机构进行数字签名,据其所知,密钥属于其所属的人。
你把你的公钥交给你的客户。他们通过检查证书上的数字签名来验证它来自你,并用你的公钥加密信息。
然后,你使用相应的私钥解密这些信息,而你永远不会给任何人。
这一切都与公钥基础设施(PKI(有关。
我想保留私钥,加密我的断言并将响应提供给我的客户端,客户端将使用公钥来解密我的消息
根据文本,我假设您正在实现SAML-IdP。
实际上,您需要客户端的SP公钥来加密SP的断言。然后使用(IdP(私钥对断言进行签名。
SP必须使用IdP的公钥验证SAML断言签名,然后他们可以使用SP私钥解密断言。
因此,私钥确实属于它们的所有者。