是否禁止未经请求的响应正常工作？

Question

我正在使用spring-saml 1.0.1 RELEASE。我将属性supportUnsolicitedResponse添加到了我的SP extendedMetadata中，并将该值设置为false，但这并未阻止未经请求的IDP响应。

在src中的代码检查/主/ JAVA /组织/ springframework的/安全/ SAML/websso/WebSSOProfileConsumerImpl.java线130我发现，以检查此标志的调用是为同行扩展元数据...

context.getPeerExtendedMetadata().isSupportUnsolicitedResponse()

不是本地扩展元数据。

这对我来说似乎不正确。在我看来，我正在配置我的SP接受或拒绝未经请求的响应，因此它应该设置在本地扩展的元数据中，代码应该在那里看不到对等体。我错过了什么吗？有人可以解释这是如何工作的吗？

谢谢。

Answer 1

好的，我已经想通了。 Spring-SAML中实现supportUnsolicitedResponse的方式是允许SP为每个IDP单独指定它们是否可以发送IDP启动的SAML响应。这给SP提供了灵活性，允许一些IDP发送IDP发起的SAML响应，而不允许其他人。 SP没有办法指定它不接受来自任何IDP的由IDP发起的响应。

此属性supportUnsolicitedResponse的行为记录在表7.2中的spring-SAML文档http://docs.spring.io/spring-security-saml/docs/1.0.x/reference/html/configuration-metadata.html中。