italia/spid-dotnet-sdk

Chacksignature fatto con la key presente nella risposta

Opened this issue 2 years ago · 0 comments

pomarc commented 2 years ago

nella verifica della signature della response

spid-dotnet-sdk/Italia.Spid.Authentication/Saml/XmlSigningHelper.cs

Line 110 in 9cb6135

return signedXml.CheckSignature();

viene usato l'overload della chiamata che non passa la chiave pubblica del firmatario, ma usa quella nel nodo KeyInfo.

E' abbastanza sicuro? non sarebbe più corretto utilizzare la chiave pubblica estratta dal metadata dell'IdP?

cfr (https://learn.microsoft.com/en-us/dotnet/api/system.security.cryptography.xml.signedxml?view=dotnet-plat-ext-6.0#security-considerations-about-the-keyinfo-element)