Метаданные SP, сгенерированные с помощью WantAssertionsSigned="false", позволяют обрабатывать поддельные ответы saml в spring-saml sp.
Может быть, это и очевидно, но хотелось бы, чтобы эксперты это подтвердили.
Если я создам фальшивый idp с «неподписанными метаданными» и в проверяющей стороне.xml я установлю signAssertions = «никогда», encryptAssertions = «никогда»,
я могу отправить в sp любое утверждение, которое захочу, потому что verifyAssertionSignature пропускается, а проверка «// Убедитесь, что хотя бы одно утверждение содержит оператор аутентификации // и тему с подтверждением носителя» всегда положительна.
Я изменил значение по умолчанию и логическое значение wantSigned = true; в org.springframework.security.saml.websso.WebSSOProfileConsumerImpl, потому что я никоим образом не могу этого разрешить.
заранее спасибо
алессандро
