Имам уеб сървър Apache/2.2.15 с модулите mod_shib, mod_ssl и mod_jk. Имам виртуален хост, който е конфигуриран (приложен по-долу) с AuthType Shibboleth, SSLCertificates и JKMount за насочване на заявки с помощта на AJP към моя Tomcat 8 сървър, след като сесията е успешно установена с правилния IDP. Когато моята http заявка достигне моя сървър за приложения, мога да видя различните Shib-* заглавки, заедно с атрибутите, които моят SP поиска от IDP.
Има ли начин сървърът ми за приложения да потвърди бисквитката shibsession или други заглавки? Опитвам се да се предпазя от сценария, при който моят уеб сървър, който се намира в DMZ, е по някакъв начин компрометиран и нападател прави заявки към сървъра ми за приложения, който се намира във вътрешна зона.
Има ли начин да потвърдя подпис на нещо, налично в заглавките, за да гарантирам, че съдържанието наистина произхожда от IDP и не е произведено от нападател, който е поел контрола над моя уеб сървър?
Има ли нещо в библиотеката OpenSAML, което мога да използвам, за да постигна това?