spid-dotnet-sdk
spid-dotnet-sdk copied to clipboard
Chacksignature fatto con la key presente nella risposta
nella verifica della signature della response
https://github.com/italia/spid-dotnet-sdk/blob/9cb613579a19561673235057c3e4732c58122fbf/Italia.Spid.Authentication/Saml/XmlSigningHelper.cs#L110
viene usato l'overload della chiamata che non passa la chiave pubblica del firmatario, ma usa quella nel nodo KeyInfo
.
E' abbastanza sicuro? non sarebbe più corretto utilizzare la chiave pubblica estratta dal metadata dell'IdP?
cfr (https://learn.microsoft.com/en-us/dotnet/api/system.security.cryptography.xml.signedxml?view=dotnet-plat-ext-6.0#security-considerations-about-the-keyinfo-element)