我想知道为什么saml签名请求和响应XML附加密钥。
我看到签名附带证书?
在SP和IDP之间是否已提前协商证书?
我只是想知道攻击者是否可以使用自己的私钥对入侵的邮件进行签名,并为SP提供公钥以进行验证。
或者响应证书将被验证以匹配已经协商的证书?那为什么有必要/懒得在每个请求/响应上附加证书?
答案 0 :(得分:3)
您的推理是正确的:证书或者指纹的一些独特参考应该已经在带外协商。
有两种情况,无论如何都可以通过请求发送证书:
但我还认为很多时候证书都包含在内,因为它是发件人使用的SAML软件堆栈的默认设置......