SAML SSO 证书不匹配但仍然有效?
SAML SSO certificates not matching but still working?
快速提问,
对于 IdP 发送的证书是旧的并且与 SP 期望的证书不匹配但 SSO 仍然有效这一事实是否有任何解释?
难道其他地方的 public 键仍然匹配?
我见过 public 密钥没有改变但到期日、序列号等确实改变的证书。不过这并不常见。
更可能的情况是:
(i) IdP 正在使用 SP 期望的证书,
(ii) SP 正在使用嵌入式证书,
(iii) SP 未验证签名。
如果您查看收到的 SAML 响应,它通常包含 XML 签名中嵌入的 base-64 编码证书。
您可以根据您期望的证书检查此内容。
快速提问,
对于 IdP 发送的证书是旧的并且与 SP 期望的证书不匹配但 SSO 仍然有效这一事实是否有任何解释?
难道其他地方的 public 键仍然匹配?
我见过 public 密钥没有改变但到期日、序列号等确实改变的证书。不过这并不常见。
更可能的情况是:
(i) IdP 正在使用 SP 期望的证书,
(ii) SP 正在使用嵌入式证书,
(iii) SP 未验证签名。
如果您查看收到的 SAML 响应,它通常包含 XML 签名中嵌入的 base-64 编码证书。
您可以根据您期望的证书检查此内容。