我正在阅读春季安全SAML文档网站:http://docs.spring.io/autorepo/docs/spring-security-saml/1.0.x-SNAPSHOT/reference/htmlsingle/#configuration-security-profiles-pkix
我只是很难理解 pkix 配置文件的工作原理。
据我了解,当 idp 发回 saml 响应时,它会对响应进行签名以显示消息的有效性。
在metaiop中,SP将使用idp元数据中的密钥来验证响应时的签名。
Pkix 似乎是 metaiop 的扩展,它将进行 metaiop 的检查,并且还这样做:
远程扩展元数据的受信任密钥集中指定的所有密钥 实体,或密钥存储中可用的所有键(当属性为 空(默认值(
我只是不明白上面的说法,这里指的是什么密钥库? 本地密钥库?
我希望有人能为我澄清。
文档中引用的密钥库是示例应用程序的 samlKeystore.jks。
虽然 MetaIOP 需要具有将用于签名的证书的确切版本,但 PKIX 使用基于受信任的证书颁发机构的验证(就像 Web 浏览器一样(——这意味着您不需要提前使用确切的证书进行签名——只要它是由您信任的 CA 之一颁发的。PKIX 还验证例如证书有效期(以及 RFC 5280 - https://en.wikipedia.org/wiki/Certification_path_validation_algorithm 的认证路径验证中的其他检查(。这些是关键区别。