我正在尝试通过仅对部分 xml 进行签名来进行一些 XML 签名,但是经过大量搜索后,我无法找到解决方案。
我正在使用 java 使用 Xpath2 转换和 EXCLUSIVE 规范化对 XML 进行签名。如果我有以下 XML
<?xml version="1.0" encoding="UTF-8"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
<id>wsfrwerwerwer</id>
<name>addr</name>
<somenode>
<trace>ND</trace>
</somenode>
</header>
<payload><ns0:addr xmlns:ns0="http://someaddres/ad/m3"><ns2:data xmlns:ns2="http://someaddres/ad/m3">
<ns2:name>somevalue</ns2:name>
<ns2:value>354</ns2:value>
</ns2:data>
</ns0:addr>
</payload>
</msg>
并签名,我得到以下输出(真实数据替换为虚拟数据)
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
<id>wsfrwerwerwer</id>
<name>addr</name>
<somenode>
<trace>ND</trace>
</somenode>
</header>
<payload>
<ns0:addr xmlns:ns0="http://someaddres/ad/m3">
<ns2:data xmlns:ns2="http://someaddres/ad/m3">
<ns2:name>somevalue</ns2:name>
<ns2:value>354</ns2:value>
</ns2:data>
</ns0:addr>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
<XPath xmlns="http://www.w3.org/2002/06/xmldsig-filter2" xmlns:ns0="http://someaddres/ad/m3" Filter="intersect">//*[local-name()='addr']/*</XPath>
</Transform>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<DigestValue>sdlfjdeklsdfngf</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>femhjgklnlkl</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>swerwerwrwerwerwe</X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
</payload>
</msg>
如果我验证签名,一切都很好,但是这里的问题是,在此之后,我在 XML 中执行了一个 XSLT,它对某些元素执行了一些更改,但没有对ns0:addr保持不变的签名元素 ( ) 执行一些更改。即使我明确说应该只对“addr”元素进行签名,但如果我尝试对其任何父元素( 或 )执行更改,它也会payload在msg签名addr失败时(根据我的理解)它不应该签名。如果我对其他元素(例如标题内的任何内容)进行更改,则签名仍然有效。
我已经测试了XPath//*[local-name()='addr']/*表达式(ns2:datamsgaddr
我也尝试过使用不同的转换,例如 UNION 但这根本不起作用。
有人知道问题可能是什么吗?在 Java 中,有没有什么方法可以在为调试目的对 XML 进行签名时准确查看正在签名的内容?
编辑:
稍后运行的 xslt 将执行诸如将命名空间从 ns0:addr 元素移动到根元素 (msg) 之类的事情,并且它将主元素名称和命名空间从 msg 更改为 newmsg(以及不同的默认命名空间),但保留签名数据 ( ns2:data) 完好无损。
用于签名的代码或多或少是这里提到的代码http://docs.oracle.com/javase/7/docs/technotes/guides/security/xmldsig/XMLDigitalSignature.html
除了我使用 XPATH2 转换而不是 ENVELOPE 转换:
Map<String, String> namespaceMap = new HashMap<String, String>(0);
namespaceMap.put("ns0", "http://someaddres/ad/m3");
XPathType xPathType = new XPathType(xPathParameters, Filter.INTERSECT, namespaceMap);
List<XPathType> xPathList = new ArrayList<XPathType>(0);
xPathList.add(xPathType)
XPathFilter2ParameterSpec xPathFilter2ParameterSpec = new XPathFilter2ParameterSpec(xPathList);
transform = fac.newTransform(CanonicalizationMethod.XPATH2, xPathFilter2ParameterSpec);
而且我使用的是 EXCLUSIVE 而不是 ENVELOPED
canonicalisationMethod = fac.newCanonicalizationMethod(CanonicalizationMethod.EXCLUSIVE, (C14NMethodParameterSpec) null);
编辑2:
我已经设法对 xml 签名过程进行了更精细的调试,并得到了以下结果:
FINER: Pre-digested input:
21-Sep-2012 10:51:39 org.jcp.xml.dsig.internal.DigesterOutputStream write
FINER: <ns2:data xmlns="http://someaddress/ad/m1" xmlns:ns0="http://someaddres/ad/m3" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://someaddres/ad/m3"> <ns2:name>somevalue</ns2:name> <ns2:value>354</ns2:value> </ns2:data>
它似乎在签署正确的数据,但是它也在签名中添加了一些额外的命名空间,这让我想知道这是否是问题所在,因为这些命名空间是从父元素中获取的。
有人知道如何使它不添加所有额外的名称空间吗?