驗證SAML針對憑證的聲明 - opensaml 3

Question

我已使用SAMLSignatureProfileValidator驗證了簽名，但根據我的理解，使用此驗證簽名時，它只能確保響應未被篡改。即它檢查簽名的結構以確保格式良好。

如何使用我從IdP或證書獲得的證書的publicKey驗證SAML聲明？我是否必須手動找到證書節點並比較值...？我使用的是OpenSAML3，並且沒有SignatureValidator，所以我無法傳入pub密鑰。

Answer 1

OpenSAML V3中的簽名驗證程序不再實例化，而是使用SignatureValidator上的靜態方法進行驗證。使用SignatureValidator.validate方法來驗證簽名。