有人能解释一下在SAML 2.0中实行公钥和签名的感觉吗?我知道需要签名才能确保消息没有被某人拦截,所以我需要确保我正在验证签名的公钥是否与发件人有关,如果是SAML 2.0,我可以使用元数据事先。但是,如果我在运行时从消息中获取公钥,我怎么知道它没有被截获并且包含其他拦截器的公钥?
答案 0 :(得分:0)
您不仅要验证公钥是否与签名匹配,还要验证公钥本身是否有效。这通常通过证书链完成,其中链中的每个证书基本上都是签名的公钥。您需要确保每个证书都有效(尚未过期,未被撤销)并且您信任每个证书的签名者。小心你信任谁并注意撤销。