Spring Security SAML - 无法验证签名

时间:2012-08-21 15:50:54

标签: spring-security digital-signature x509 saml-2.0 spring-saml

我在Tomcat 7上使用Spring Security SAML 2.0示例webapp并对其进行了修改以尝试使其针对Ping Identity服务进行身份验证。 webapp正在与服务进行通信,并且它正在发回一个断言,但在尝试验证签名时失败,如下面的调试输出所示:

- Attempting to verify signature and establish trust using KeyInfo-derived credentials
- Signature contained no KeyInfo element, could not resolve verification credentials
- Failed to verify signature and/or establish trust using any KeyInfo-derived credentials
- Attempting to verify signature using trusted credentials
- Failed to verify signature using either KeyInfo-derived or directly trusted credentials
- Validation of received assertion failed, assertion will be skipped
org.opensaml.xml.validation.ValidationException: Signature is not trusted or invalid

我知道它无法验证签名,并且我已获得Ping Identity管理员使用的证书,但我不确定如何将其包含在应用程序中。我已经尝试使用JDK的keytool程序将它添加到示例应用程序附带的JKS(密钥库)中,但它似乎无法在那里找到它。我也尝试将它添加到服务提供商的元数据xml文件中,如下所示:

<md:KeyDescriptor use="signing">
    <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
                [Certificate is here...]
            </ds:X509Certificate>
        </ds:X509Data>
    </ds:KeyInfo>
</md:KeyDescriptor>

但是它仍会返回相同的错误。

我是否应该放置证书以验证签名?我对SAML和应用程序安全性一般都比较新,所以如果我使用错误的术语,我会道歉。

1 个答案:

答案 0 :(得分:9)

终于有了这个工作。事实证明我错过了安全上下文文件中的一行配置,并且(看起来好像)服务提供商的元数据XML文件中不需要X509证书定义。

基本上我已经将我提供的公钥导入到现有的JKS中(使用keytool),但我没有告诉应用程序专门使用它。为了做到这一点,我不得不进入安全上下文文件(在我的例子中是“securityContext.xml”)并将以下行添加到SP的元数据xml文件的ExtendedMetadata bean定义中:

<property name="signingKey" value="[alias of the provided key in the JKS goes here]"/>

因此,在此修改之后,ExtendedMetadataDelegate bean定义如下所示:

<bean class="org.springframework.security.saml.metadata.ExtendedMetadataDelegate">
  <constructor-arg>
    <bean class="org.opensaml.saml2.metadata.provider.FilesystemMetadataProvider">
      <constructor-arg>
        <value type="java.io.File">classpath:security/[Path to SP metadata xml file].xml</value>
      </constructor-arg>
      <property name="parserPool" ref="parserPool" />
    </bean>
  </constructor-arg>
  <constructor-arg>
    <bean class="org.springframework.security.saml.metadata.ExtendedMetadata">
      <property name="alias" value="[SP alias goes here]" />
      <property name="signingKey" value="[alias of the provided key in the JKS goes here]"/>
    </bean>
  </constructor-arg>
</bean>

希望这有助于任何可能处于类似情况的人。

相关问题
最新问题