0

我的代码以 xml 格式接收 saml 响应。我需要验证签名以确认响应未被篡改,并且我还需要确认这来自受信任的来源。(在设置文件中,我有信任证书的证书指纹和颁发者名称)。我正在使用组件空间工具,我可以在其中调用 GetCertificate() 从 xml 文件中获取 X509Certificate2。

要验证签名的 xml,我是否需要将此证书安装到证书存储区?是否可以使用您从 xml 本身构建的证书来验证 xml 签名文档?

4

1 回答 1

0

我当然不会仅仅基于签名消息中包含的证书来相信签名消息的真实性。理论上,有人可以截获消息并使用新的歌唱证书创建新消息,而您的 SP 永远不会知道。让 IDP 带外向您发送他们的签名证书被认为是最佳实践,您应该将其安全地存储在本地。这样,当您收到签名消息时,您可以检查消息中包含的签名证书是否与您的 IDP 提供给您的本地存储版本匹配,并使用相同的证书验证消息签名是否有效。

于 2012-06-15T15:59:33.927 回答