用PHP实现SAML 2.0中的DSA签名检查

Question

我已经查过了，也用谷歌搜索过了，但到目前为止还没有找到答案。我使用SAML2.0作为服务提供商，并首先使用嵌入式php-saml -使用simplesamlphp，但发现嵌入起来有点困难。

IdP-s响应返回一个签名。

<signaturemethod algorithm="http://www.w3.org/2000/09/xmldsig#dsa-sha1">

并且看起来xmlseclibs不支持dsa签名。

问题A:有什么建议用来验证dsa签名？

问题B:我只是好奇其他人在SAML中使用了什么库。我刚刚在simplesamlphp上花了大约20分钟，发现它完全依赖于它自己的URL结构，并且是一个合适的and服务器端点，而不仅仅是一个库。

干杯

Answer 1

PingFederate (来自Ping Identity)为您提供DSA选项(作为IDP和SP)。虽然XML签名要求使用DSAwithSHA1签名算法，但SAMLV2.0并不要求它，但建议使用它。

虽然PF不是代码库(它是一个完整的内部单点登录解决方案)，但它支持云计算所需的所有各种身份协议(SAML1.0/1.1/2.0/WS-Federation)，并且可以很容易地通过PHP服务或RESTful库连接到PHP服务或PHP库。

Answer 2

PHP库中缺乏DSA支持的部分历史原因可能与以下内容有关：

• https://bugs.php.net/bug.php?id=41033