turn on security.wantMessagesSigned
Opened this issue · 1 comments
simevo commented
regole tecniche:
1.3.1. REGOLE DI PROCESSAMENTO DELLA < RESPONSE> Alla ricezione qualunque sia il binding utilizzato il Service Provider prima di utilizzare l’asserzione deve operare almeno le seguenti verifiche: controllo delle firme presenti nella e nella ...
simevo commented
the underlying package can be easily configured to request signed Responses (just set security.wantMessagesSigned
in https://github.com/simevo/spid-php2/blob/master/src/Config/OneLoginConfig.php#L97) but the signature then becomes mandatory, which is not what we want, see regole tecniche page 28:
nell’ elemento ... può [essere] presente l’elemento riportante la firma
also see:
italia/spid-testenv2#67