У меня есть веб-сервер Apache/2.2.15 с модулями mod_shib, mod_ssl и mod_jk. У меня есть виртуальный хост, который настроен (прикреплен ниже) с AuthType Shibboleth, SSLCertificates и JKMount для направления запросов с использованием AJP на мой сервер Tomcat 8 после успешного установления сеанса с правильным IDP. Когда мой http-запрос достигает моего сервера приложений, я вижу различные заголовки Shib-* вместе с атрибутами, которые мой SP запросил у IDP.
Есть ли способ, которым мой сервер приложений может проверить файл cookie shibsession или другие заголовки? Я пытаюсь защититься от сценария, когда мой веб-сервер, находящийся в демилитаризованной зоне, каким-то образом скомпрометирован, и злоумышленник делает запросы к моему серверу приложений, который находится во внутренней зоне.
Есть ли способ проверить подпись чего-либо, доступного в заголовках, чтобы гарантировать, что содержимое действительно исходит от IDP, а не было создано злоумышленником, который получил контроль над моим веб-сервером?
Есть ли что-то в библиотеке OpenSAML, которое я мог бы использовать для достижения этой цели?