SAML请求的以下部分是否会导致引起:com.sun.xml.wss.impl.WssSoapFaultException:签名验证失败异常?
<ds:KeyInfo>
<ds:X509Data/>
</ds:KeyInfo>
感谢。
答案 0 :(得分:1)
是的,它可以。 SAML邮件中的Signature/KeyInfo/X509Data元素应包含具有用于签署SAML邮件的公钥的证书。在您的情况下,它是空的,可能会导致签名验证错误。
另请注意,通常您会通过带外可信通道事先为发件人建立公钥的真实性。您只能使用X509Data作为指向实际公钥的指针,以防您收到多个或使用证书颁发机构。
请注意,KeyInfo元素是可选的,发件人可以从Signature中省略它,在这种情况下,这比提供空元素更好,因为它可能会破坏接收软件。后者似乎正在这里发生。 FWIW:绝大多数SAML实现始终包含KeyInfo元素。