pkix配置文件在Spring Security SAML中的工作原理

时间:2017-07-02 20:36:16

标签: saml saml-2.0 spring-saml

我正在阅读spring security saml doc网站:http://docs.spring.io/autorepo/docs/spring-security-saml/1.0.x-SNAPSHOT/reference/htmlsingle/#configuration-security-profiles-pkix

我很难理解pkix配置文件的工作原理。

根据我的理解,当idp发回saml响应时,它会在响应中签名以显示消息的有效性。

在metaiop中,SP将使用来自idp元数据的密钥来验证响应中的签名。

Pkix似乎是metaiop的扩展,它将进行metaiop的检查以及:

  

在trustedKeys中设置的所有密钥都是远程的扩展元数据   实体,或属性所在的密钥库中可用的所有密钥   null(默认值)

我只是不明白上面的说法,这里提到的关键商店是什么?本地密钥库?

我希望有人能为我澄清。

1 个答案:

答案 0 :(得分:1)

文档中引用的密钥库是示例应用程序的samlKeystore.jks。

虽然MetaIOP需要具有将用于签名的证书的确切版本,但PKIX使用基于受信任的证书颁发机构的验证(就像例如Web浏览器一样) - 这意味着您不需要拥有确切的证书用于提前签名 - 只要它由您信任的CA之一签发。 PKIX还验证例如证书有效期(以及RFC 5280的证书路径验证中的其他检查 - https://en.wikipedia.org/wiki/Certification_path_validation_algorithm)。这些是关键的区别。