我最近继承了一个使用 Spring SAML 2.0 的项目,但代码似乎没有验证 X509 证书。我可以看到它正在验证时间戳和签名值,而不是证书本身。我在查找清楚解释验证证书过程的文档时遇到了一些麻烦,这里是否有人可以找到我想要的信息或有能力解释它。
问问题
1720 次
1 回答
4
SAML 2 规范只是声明服务提供者(即消费应用程序)应该验证签名,它不要求 SP 对证书本身执行任何验证,即不需要检查证书到期或证书链的有效性等等。事实上,SAML 规范建议不鼓励使用长期自签名证书、短期证书或由 CA 签名的证书。有关更多信息,请参阅本文。
这解释了为什么 Spring SAML(和大多数 SAML2 实现)不会对 x509 证书执行验证
于 2012-04-17T18:53:27.693 回答