pkix 配置文件如何在 Spring 安全 SAML 中工作

How pkix profile works in Spring Security SAML

我正在阅读 spring 安全 saml 文档站点:http://docs.spring.io/autorepo/docs/spring-security-saml/1.0.x-SNAPSHOT/reference/htmlsingle/#configuration-security-profiles-pkix

我只是很难理解 pkix 配置文件的工作原理。

据我了解,当 idp 发回 saml 响应时,它会签署响应以显示消息的有效性。

在 metaiop 中,SP 将使用 idp 的元数据中的密钥来验证响应的签名。

Pkix 似乎是 metaiop 的扩展,它会做 metaiop 的检查,还有这个:

All keys specified in trustedKeys set of extended metadata of a remote entity, or all keys available in the key store when the property is null (default value)

就是不明白上面的说法,这里所说的key store指的是什么?本地密钥库?

希望有人能帮我解惑

文档中引用的密钥库是示例应用程序的 samlKeystore.jks。

虽然 MetaIOP 需要具有将用于签名的证书的确切版本,但 PKIX 使用基于受信任的证书颁发机构的验证(就像网络浏览器那样)——这意味着您不需要拥有预先用于签名的确切证书 - 只要它是由您信任的 CA 之一颁发的。 PKIX 还验证例如证书有效期(以及 RFC 5280 的证书路径验证中的其他检查 - https://en.wikipedia.org/wiki/Certification_path_validation_algorithm)。这些是主要区别。