SAML 服务提供商签名验证

SAML service provider signature verification

这是一个关于 SAML 协议及其如何指定 SAML 令牌验证的基本问题。

查看不同的图表和资源,服务提供商似乎不需要调用身份提供商 (IdP) 来验证 SAML 令牌。 我有兴趣从 wikiSAMPL_wiki 澄清第 5 步(在 SP 请求断言消费者服务)。 令牌验证主要在服务提供商上完成,无需额外调用 IdP。
令牌验证包括 3 个步骤:
1.Verify 令牌格式正确
2.Verify 令牌来自预定的授权机构
3.Verify 令牌适用于当前应用程序

这个假设对吗?

从很高的层次上讲,是的,你的三步是对的。

更具体:

1 将包括解码 base64 编码的响应,检查 模式等

2 将通过签名验证完成,检查权限, 查看它是否是对发送的 AuthnRequest 的响应并匹配它, 等等

3来自检查中继状态并确保它是 服务提供商 "protected" 的位置