Java Spring Security SAML:仅接受来自IDP的签名SAML响应消息
我们在Java应用程序中使用Java Spring Security SAML:仅接受来自IDP的签名SAML响应消息,java,spring-security,saml-2.0,spring-saml,spring-security-saml2,Java,Spring Security,Saml 2.0,Spring Saml,Spring Security Saml2,我们在Java应用程序中使用Spring Security SAML(v1.0.3),用于带IDP的SAML SSO 要求:仅接受来自IDP的已签名SAML响应消息,如果SAML响应未签名,则引发异常 实际结果:即使SAML登录响应消息中完全缺少签名信息,它也会被接受,并且Spring Security SAML库不会引发异常 观察结果: 如果SAML登录响应消息中存在错误的签名信息,那么它将抛出一个正确的异常 对于注销消息,我们在扩展元数据生成器中有属性requireLogoutRequest
Spring Security SAML
(v1.0.3),用于带IDP的SAML SSO
要求:仅接受来自IDP的已签名SAML响应消息,如果SAML响应未签名,则引发异常
实际结果:即使SAML登录响应消息中完全缺少签名信息,它也会被接受,并且Spring Security SAML库不会引发异常
观察结果:
requireLogoutRequestSigned
和requirelogoutresponsedesigned
,用于控制是否对注销请求和响应进行签名wantasertionsigned
,它指示SP是否需要签名断言Spring-Security-SAML
框架中是否有任何属性或方法允许SP仅接受来自IDP的签名登录响应(在消息级别)WANTASERTIONSIGNED
仅启用已签名的断言,而不启用消息