SP метаданные, сгенерированные с помощью WantAssertionsSigned = "false", позволяют обрабатывать поддельные ответы saml в spring-saml sp.утверждение весны-saml от поддельного idp
Возможно, это очевидно, но я бы хотел, чтобы эксперты подтвердили это.
Если я создать поддельную МВУ с «не подписанными метаданными» и в полагающемся-party.xml я установить signAssertions = «никогда» encryptAssertions = «никогда»,
я могу послать к зр любому утверждению я хотите, потому что проверкаAssertionSignature пропущена и проверка "// Убедитесь, что хотя бы одно утверждение содержит аутентификацию // заявление и субъект с подтверждением на предъявителя" всегда положительный.
Я изменил значение по умолчанию и boolean wantSigned = true; в org.springframework.security.saml.websso.WebSSOProfileConsumerImpl , потому что я не могу это сделать.
заранее спасибо
Alessandro