我正在阅读spring security saml doc网站:http://docs.spring.io/autorepo/docs/spring-security-saml/1.0.x-SNAPSHOT/reference/htmlsingle/#configuration-security-profiles-pkix
我很难理解pkix配置文件的工作原理。
根据我的理解,当idp发回saml响应时,它会在响应中签名以显示消息的有效性。
在metaiop中,SP将使用来自idp元数据的密钥来验证响应中的签名。
Pkix似乎是metaiop的扩展,它将进行metaiop的检查以及:
在trustedKeys中设置的所有密钥都是远程的扩展元数据 实体,或属性所在的密钥库中可用的所有密钥 null(默认值)
我只是不明白上面的说法,这里提到的关键商店是什么?本地密钥库?
我希望有人能为我澄清。
答案 0 :(得分:1)
文档中引用的密钥库是示例应用程序的samlKeystore.jks。
虽然MetaIOP需要具有将用于签名的证书的确切版本,但PKIX使用基于受信任的证书颁发机构的验证(就像例如Web浏览器一样) - 这意味着您不需要拥有确切的证书用于提前签名 - 只要它由您信任的CA之一签发。 PKIX还验证例如证书有效期(以及RFC 5280的证书路径验证中的其他检查 - https://en.wikipedia.org/wiki/Certification_path_validation_algorithm)。这些是关键的区别。