This repository has been archived by the owner on Feb 8, 2025. It is now read-only.
Chacksignature fatto con la key presente nella risposta #45
Comments
Sign up for free
to subscribe to this conversation on GitHub.
Already have an account?
Sign in.
nella verifica della signature della response
spid-dotnet-sdk/Italia.Spid.Authentication/Saml/XmlSigningHelper.cs
Line 110 in 9cb6135
viene usato l'overload della chiamata che non passa la chiave pubblica del firmatario, ma usa quella nel nodo
KeyInfo.E' abbastanza sicuro? non sarebbe più corretto utilizzare la chiave pubblica estratta dal metadata dell'IdP?
cfr (https://learn.microsoft.com/en-us/dotnet/api/system.security.cryptography.xml.signedxml?view=dotnet-plat-ext-6.0#security-considerations-about-the-keyinfo-element)
The text was updated successfully, but these errors were encountered: