spid-dotnet-sdk icon indicating copy to clipboard operation
spid-dotnet-sdk copied to clipboard

Published 20 hours ago verified publisher icon italia

Chacksignature fatto con la key presente nella risposta

Open pomarc opened this issue 1 year ago • 0 comments

nella verifica della signature della response

https://github.com/italia/spid-dotnet-sdk/blob/9cb613579a19561673235057c3e4732c58122fbf/Italia.Spid.Authentication/Saml/XmlSigningHelper.cs#L110

viene usato l'overload della chiamata che non passa la chiave pubblica del firmatario, ma usa quella nel nodo KeyInfo.

E' abbastanza sicuro? non sarebbe più corretto utilizzare la chiave pubblica estratta dal metadata dell'IdP?

cfr (https://learn.microsoft.com/en-us/dotnet/api/system.security.cryptography.xml.signedxml?view=dotnet-plat-ext-6.0#security-considerations-about-the-keyinfo-element)

pomarc avatar Oct 17 '22 08:10 pomarc