19

在工作中,我们有一个 Web 应用程序,我们需要使用 SAML 验证的单点登录与另一家公司的 Web 应用程序交互。我们的 Web 应用程序是用 PHP 编写的,显然与其他公司使用的语言选择无关。尽管如此,我需要编写一个简单的 API,这家其他公司可以使用 SAML 请求向其发送 SOAP 请求,并生成回 SAML 响应。我一直从头开始编写它,原因有三个:1)即使我想要一个用 PHP 编写的 SAML 交互,似乎也没有很多选择,2)它限制了添加另外三分之一所涉及的开销- 派对组件,以及3)从头开始创建东西通常会让我有更好的理解,并使我更有能力在未来需要时适应这些东西。

无论如何,总的来说,我对 SAML、SOAP 和 XML 标准还很陌生,所以我一直在自学。对于我们的目的,我已经获得了非常完整的 API,除了另一家公司指定我们的响应将需要使用证书进行数字签名(并且我们收到的请求也将类似地进行数字签名)。所以我一直在试图弄清楚如何处理/生成 XML 签名,但老实说,这有点令人困惑,因为 W3C 规范并不是很容易阅读。

OASIS 安全标记语言 (SAML) V1.1文档的断言和协议的第 5.4.8 节(我一直在关闭的文档,因为另一家公司说他们将使用 v1.1)包括一个示例包含签名断言的签名响应,我将在此处包含它以供参考:

<Response IssueInstant="2003-04-17T00:46:02Z" MajorVersion="1" MinorVersion="1"
 Recipient="www.opensaml.org" ResponseID="_c7055387-af61-4fce-8b98-e2927324b306"
 xmlns="urn:oasis:names:tc:SAML:1.0:protocol"
 xmlns:samlp="urn:oasis:names:tc:SAML:1.0:protocol"
 xmlns:xsd="http://www.w3.org/2001/XMLSchema"
 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
 <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
  <ds:SignedInfo>
   <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
   <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
   <ds:Reference URI="#_c7055387-af61-4fce-8b98-e2927324b306">
    <ds:Transforms>
     <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
     <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
      <InclusiveNamespaces PrefixList="#default saml samlp ds xsd xsi"
       xmlns="http://www.w3.org/2001/10/xml-exc-c14n#"/>
     </ds:Transform>
    </ds:Transforms>
    <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
    <ds:DigestValue>TCDVSuG6grhyHbzhQFWFzGrxIPE=</ds:DigestValue>
   </ds:Reference>
  </ds:SignedInfo>
  <ds:SignatureValue>x/GyPbzmFEe85pGD3c1aXG4Vspb9V9jGCjwcRCKrtwPS6vdVNCcY5rHaFPYWkf+5EIYcPzx+pX1h43SmwviCqXRjRtMANWbHLhWAptaK1ywS7gFgsD01qjyen3CP+m3Dw6vKhaq1ed10BYyrIzb4KkHO4ahNyBVXbJwqv5pUaE4=</ds:SignatureValue>
  <ds:KeyInfo>
   <ds:X509Data>
    <ds:X509Certificate>MIICyjCCAjOgAwIBAgICAnUwDQYJKoZIhvcNAQEEBQAwgakxCzAJBgNVBAYTA1VT ... 8I3bsbmRAUg4UP9hH6ABVq4KQKMknxu1xQxLhpR1y1GPdiowMNTrEG8cCx3w/w==</ds:X509Certificate>
   </ds:X509Data>
  </ds:KeyInfo>
 </ds:Signature>
 <Status><StatusCode Value="samlp:Success"/></Status>
 <Assertion AssertionID="_a75adf55-01d7-40cc-929f-dbd8372ebdfc"
  IssueInstant="2003-04-17T00:46:02Z" Issuer="www.opensaml.org"
  MajorVersion="1" MinorVersion="1" xmlns="urn:oasis:names:tc:SAML:1.0:assertion"
  xmlns:xsd="http://www.w3.org/2001/XMLSchema"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <Conditions NotBefore="2003-04-17T00:46:02Z" NotOnOrAfter="2003-04-17T00:51:02Z">
   <AudienceRestrictionCondition>
    <Audience>http://www.opensaml.org</Audience>
   </AudienceRestrictionCondition>
  </Conditions>
  <AuthenticationStatement AuthenticationInstant="2003-04-17T00:46:00Z"
   AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
   <Subject>
    <NameIdentifier Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">scott@example.org</NameIdentifier>
    <SubjectConfirmation>
     <ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:bearer</ConfirmationMethod>
    </SubjectConfirmation>
   </Subject>
   <SubjectLocality IPAddress="127.0.0.1"/>
  </AuthenticationStatement>
  <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
   <ds:SignedInfo>
    <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
    <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
    <ds:Reference URI="#_a75adf55-01d7-40cc-929f-dbd8372ebdfc">
     <ds:Transforms>
      <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
      <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
       <InclusiveNamespaces PrefixList="#default saml samlp ds xsd xsi"
        xmlns="http://www.w3.org/2001/10/xml-exc-c14n#"/>
      </ds:Transform>
     </ds:Transforms>
     <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
     <ds:DigestValue>Kclet6XcaOgOWXM4gty6/UNdviI=</ds:DigestValue>
    </ds:Reference>
   </ds:SignedInfo>
   <ds:SignatureValue>hq4zk+ZknjggCQgZm7ea8fI79gJEsRy3E8LHDpYXWQIgZpkJN9CMLG8ENR4Nrw+n7iyzixBvKXX8P53BTCT4VghPBWhFTSt9tHWu/AtJfOTh6qaAsNdeCyG86jmtp3TDMWuL/cBUj2OtBZOQMFn7jQ9YB7k1Iz3RqVL+wNmeWI4=</ds:SignatureValue>
   <ds:KeyInfo>
    <ds:X509Data>
     <ds:X509Certificate>MIICyjCCAjOgAwIBAgICAnUwDQYJKoZIhvcNAQEEBQAwgakxCzAJBgNVBAYTA1VT ... 8I3bsbmRAUg4UP9hH6ABVq4KQKMknxu1xQxLhpR1y1GPdiowMNTrEG8cCx3w/w==</ds:X509Certificate>
    </ds:X509Data>
   </ds:KeyInfo>
  </ds:Signature>
 </Assertion>
</Response>

那么我如何生成这样的东西呢?如果我收到这样的东西,我该如何验证它?<ds:Signature>此外,任何人都可以提供这里标签的基本概念概述吗?似乎有两个<ds:Signature>标签,一个在 main<Response>中,一个在 中<Assertion>,每个标签都包含自己的<ds:DigestValue>,<ds:SignatureValue><ds:X509Certificate>(并且每个标签都不同)。这些是如何产生的?您可以对此有所了解的任何信息将不胜感激。教程或代码示例将更加感激!但在这一点上,如果你能让我走上正轨,这就是我真正想要的。现在,这一切对我来说仍然像是一个大黑匣子。

顺便说一句,如果这有帮助,它在 SAML 1.1 规范的其他地方说,SAML 实现应该只使用“Exclusive Canonicalization”方法(Excl-C14N)并且应该只使用“envelope transform”。我仍然不完全确定这意味着什么。

4

3 回答 3

34

如果您对 XML 非常熟悉,处理 XML 签名其实并不太难,但是有很多细节必须绝对正确,否则事情就无法正常工作,所以我可能不会尝试在此编写自己的实现情况(我确实部分实现了一次,但那是为了不同的特殊目的,无论如何它不是一个完整的实现)。

无论如何,我对 SAML 了解不多,但我确实了解 XML 和 XML 签名,所以也许我可以通过尝试回答您的问题来为您提供一些帮助。

Signature元素是指在其SignedInfo子元素中经过数字签名的 XML 文档的特定部分。它的Reference子元素(我认为Reference在形成要签名的字节时可以连接许多元素,但我不再记得了)通过URI属性指向内容。Transform元素描述了在散列之前对引用的内容执行的转换;您将需要查看规范以了解如何定义转换算法。该DigestMethod元素提供了应用于作为这些转换算法结果的字节的哈希算法(请注意,其中之一始终是将 XML 转换为字节的规范化),并且DigestValue给出该摘要算法的结果。

实际签名在SignatureValue元素中,通过应用CanonicalizationMethod元素的规范化来生成字节,然后使用SignatureMethod. 该KeyInfo元素告诉您如何找到要使用的密钥。

上面多次出现的规范化只是一种将 XML 文档转换为字节的方法,以便“等效”的 XML 文档产生相同的字节序列。这在数字签名中是必需的,因为算法适用于字节,并且 XML 可以通过许多中介,这些中介可能会破坏原始字节,但会保留等效性。并且针对不同的情况需要不同的规范化方法:如果从文档中提取元素并放入其他元素中,则需要排除不需要的命名空间定义的排他规范化,但在其他情况下可能无法正常工作,因此您需要包含规范化,这保留所有范围内的命名空间。

这只是基础知识。如何生成 XML 签名有许多不同的选项,如果您想实现一个有效的验证器,您需要考虑所有这些选项。由于您通常是 XML 新手,所以我将重复我的建议,即使用已经存在的东西。实现规范是一种有趣的学习体验,但如果实现已经可用,这通常是浪费时间。

W3C 有关于签名的文档。

于 2009-12-20T22:53:56.677 回答
2

SimpleSAML 的xmlseclibs.php中有一个示例。它依赖于 openssl 模块来进行加密。

我会诚实地使用那个 lib 或桥接到 java/tomcat,只是因为可能会出现需要调试的互操作问题,

于 2009-12-20T22:43:38.763 回答
0

  1. 您可以查看此 Java 库以签署 SAML 请求示例https://github.com/jrowny/java-saml

  2. 要验证签名,您需要安装 SAML 跟踪器插件https://addons.mozilla.org/en-US/firefox/addon/saml-tracer/

  3. 您可以使用工具https://www.samltool.com/validate_logout_req.php验证或签署请求https://www.samltool.com/sign_logout_req.php

于 2016-07-16T22:42:31.987 回答