0

任何人都可以向我解释在 SAML 2.0 中实践的将公钥与签名一起传递的感觉吗?据我所知,需要签名以确保消息未被他人截获,因此我需要确保用于验证签名的公钥与发件人有关,在 SAML 2.0 的情况下,我可以使用预先元数据。但是,如果我在运行时从消息中获取公钥,我怎么知道它没有被拦截并且包含其他拦截器的公钥?

4

1 回答 1

0

您不仅要验证公钥是否与签名匹配,还要验证公钥本身是否有效。这通常是通过证书链完成的,其中链中的每个证书基本上都是一个签名的公钥。您需要确保每个证书都是有效的(没有过期,没有被吊销)并且您信任每个证书的签名者。小心你信任的人,并注意撤销。

于 2013-06-10T18:24:00.410 回答