我已使用SAMLSignatureProfileValidator验证了签名,但根据我的理解,当我使用此验证签名时,它只会确保响应未被篡改。即它会检查签名的结构,以确保其格式正确。
如何使用我从IdP或凭证获得的证书的publicKey验证SAML断言?我是否必须手动找到证书节点并比较值...?我正在使用OpenSAML3并且没有SignatureValidator所以我无法传入pub键。
答案 0 :(得分:2)
OpenSAML V3中的签名验证器不再实例化,而是使用SignatureValidator上的静态方法进行验证。使用SignatureValidator.validate方法验证签名。