我试图做一些XML签名,只签署部分的xml,但是经过多次搜索,我还没有找到解决方案。
我正在使用java使用XPath2转换和EXCLUSIVE规范化对XML进行签名。如果我有以下XML
<?xml version="1.0" encoding="UTF-8"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
<id>wsfrwerwerwer</id>
<name>addr</name>
<somenode>
<trace>ND</trace>
</somenode>
</header>
<payload><ns0:addr xmlns:ns0="http://someaddres/ad/m3"><ns2:data xmlns:ns2="http://someaddres/ad/m3">
<ns2:name>somevalue</ns2:name>
<ns2:value>354</ns2:value>
</ns2:data>
</ns0:addr>
</payload>
</msg>
并签名,我得到以下输出(Real data替换为哑)
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
<id>wsfrwerwerwer</id>
<name>addr</name>
<somenode>
<trace>ND</trace>
</somenode>
</header>
<payload>
<ns0:addr xmlns:ns0="http://someaddres/ad/m3">
<ns2:data xmlns:ns2="http://someaddres/ad/m3">
<ns2:name>somevalue</ns2:name>
<ns2:value>354</ns2:value>
</ns2:data>
</ns0:addr>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
<XPath xmlns="http://www.w3.org/2002/06/xmldsig-filter2" xmlns:ns0="http://someaddres/ad/m3" Filter="intersect">//*[local-name()='addr']/*</XPath>
</Transform>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<DigestValue>sdlfjdeklsdfngf</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>femhjgklnlkl</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>swerwerwrwerwerwe</X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
</payload>
</msg>
如果我验证签名,一切都很好,但是这里的问题是,在此之后,我在XML中执行XSLT,对一些元素执行一些更改,但没有对完整的签名元素(ns0: addr)执行一些更改。即使我明确地说只有addr元素应该被签名,如果我尝试对其任何父元素(payload,msg或addr)执行更改,它会在(根据我的理解)不应该的时候失败签名。如果我对其他元素执行更改,例如标题中的任何内容,签名仍然有效。
我已经测试了XPath表达式(//*[local-name()='addr']/*),它选择了要签名的正确数据(ns2: data),但它似乎也从根元素(msg,addr)开始获取所有指向它的元素。
我也尝试使用不同的转换,如UNION,但这根本不起作用。
有人知道问题是什么吗?Java,有没有办法在为调试目的签署XML时准确地看到正在签署的内容?
编辑:
稍后运行的xslt将执行诸如将命名空间从ns0: addr元素移动到根元素(msg)之类的操作,并且将主元素名称和命名空间从msg更改为newmsg(以及不同的默认命名空间),但保留签名数据(ns2:data)。
用于签署它的代码或多或少是这里提到的代码http://docs.oracle.com/javase/7/docs/technotes/guides/security/xmldsig/XMLDigitalSignature.html
除了使用XPATH2转换而不是ENVELOPED转换:
Map<String, String> namespaceMap = new HashMap<String, String>(0);
namespaceMap.put("ns0", "http://someaddres/ad/m3");
XPathType xPathType = new XPathType(xPathParameters, Filter.INTERSECT, namespaceMap);
List<XPathType> xPathList = new ArrayList<XPathType>(0);
xPathList.add(xPathType)
XPathFilter2ParameterSpec xPathFilter2ParameterSpec = new XPathFilter2ParameterSpec(xPathList);
transform = fac.newTransform(CanonicalizationMethod.XPATH2, xPathFilter2ParameterSpec);
我也没有使用ENVELOPED,而是使用EXCLUSIVE
canonicalisationMethod = fac.newCanonicalizationMethod(CanonicalizationMethod.EXCLUSIVE, (C14NMethodParameterSpec) null);
编辑2:
我设法对xml签名过程进行了更精细的调试,并得到了以下结果:
FINER:预消化输入:21-Sep-2012 10:51:39 org.jcp.xml.dsig.内部.DigesterOutputStream写FINER:
它似乎正在签署正确的数据,但它也在签名中添加了一些额外的命名空间,这让我怀疑这是否是问题所在,因为这些命名空间是从父元素中获取的。
有人知道如何使它不添加所有额外的命名空间吗?
经过与XML签名的多次斗争,我终于找到了一个可以接受的解决方案(尽管不理想)。
事实证明,独家规范化是不够的。您还需要在所有其他转换器之后添加独家转换。按照我上面写的代码片段:
List<Transform> transforms = new ArrayList<Transform>()
transforms.add(transform)
fac.newTransform(CanonicalizationMethod.EXCLUSIVE, (TransformParameterSpec) null)
这将使它不会被考虑到签名元素之外的任何其他命名空间(尽管它具有允许在签名元素中插入命名空间的附加效果)。
此外,似乎签名元素的xpath中的任何元素都将被考虑在内,因此如果您有以下xpath/root/A/B,它将对标签B进行签名,但是您将无法更改A或根元素的标签名称。
这可以通过使用包含较少元素的xpath来克服,例如//B。
我相信也有可能克服这个问题,尽管到目前为止我还没有能够克服。
有一些与命名空间相关的参数可以传递给描述包容命名空间前缀列表的独占XML规范化。
您可以尝试使用前缀列表将ExcC14NParameterSpec传递给newCanonicalizationMethod(),以查看这是否会影响命名空间的规范化。
