2

我正在创建一个 xml 数字签名,就像我发现的几乎所有示例中提到的那样:

String providerName = System.getProperty("jsr105Provider",
"org.jcp.xml.dsig.internal.dom.XMLDSigRI");

XMLSignatureFactory fac =
XMLSignatureFactory.getInstance("DOM",
(Provider) Class.forName(providerName).newInstance());
...and so on...

我们将生成的 xml 文件发送给验证此签名的客户。所有测试都通过了,到目前为止一切正常。

在生产系统中,我们的客户突然发回“数字签名错误”。重新启动应用程序服务器后,一切似乎又正常了,并且客户成功验证了一些文件。但在几分钟/几小时后,客户再次发回“数字签名错误”。只有重新启动应用程序服务器才能暂时解决问题。

我发现是什么导致了这个问题,但我不明白。在应用程序 WSS4J 的某处使用,初始化如下所示(org.apache.ws.security.WSSConfig):

public static synchronized void init() {
    if (!staticallyInitialized) {
        if (addJceProviders) {
            setXmlSecIgnoreLineBreak();
            AccessController.doPrivileged(new PrivilegedAction<Boolean>() {
                public Boolean run() {
                    addXMLDSigRI(); <-- this line causes the problem
                    addJceProvider("BC", "org.bouncycastle.jce.provider.BouncyCastleProvider");
                    Security.removeProvider("STRTransform");
                    appendJceProvider(
                        "STRTransform", new org.apache.ws.security.transform.STRTransformProvider()
                    );

                    return true;
                }
            });
        }
        staticallyInitialized = true;
    }
}

addXMLDsigRI() 在当前提供程序配置 (java.security) 中不存在 ApacheXMLDSig 提供程序时将其添加到位置 2。默认的 XMLDSig jdk 提供程序位于第 8 位。

在 WSS4J 初始化之后,xml 数字签名的创建发生了变化,客户说“数字签名错误”。

当我在位置 2 上手动注册 ApacheXMLDSig 提供程序时,我可以重现客户错误。如果我在位置 10(在 jdk 提供程序之后)添加提供程序,它会再次工作。

版本:

  • xml 安全 1.5.6
  • wss4j 1.6.10
  • jdk1.7.0_13
  • tomcat 7 应用服务器

我明确使用 jdk 提供程序:org.jcp.xml.dsig.internal.dom.XMLDSigRI

为什么 apache 提供程序的注册“破坏”了 jdk 提供程序的功能,我该如何解决这个问题?

4

2 回答 2

2

JDK 注册了自己的 xml 安全提供程序版本,当 Wss4j 初始化时,XMLSignatureFactory 取自 JDK 版本,而不是 Xmlsec jar。在较新版本的 Wss4j 中,这在 'addXMLDSigRI()' 中得到了修复,如下所示:

    Security.removeProvider("ApacheXMLDSig");
    addJceProvider("ApacheXMLDSig", SantuarioUtil.getSantuarioProvider());

即 - 首先它删除由 JDK 注册的提供程序版本,然后注册它自己的。这可以防止在使用来自不同提供程序(如 Azul JDK)的 JDK 时引起的类加载问题。

于 2019-11-29T07:38:06.213 回答
1

您可以通过调用以下方法在 WSS4J 中禁用 Apache Santuario 提供程序的注册:

WSSConfig.setAddJceProviders(false);

看这里:

https://svn.apache.org/repos/asf/webservices/wss4j/tags/1_6_10/src/main/java/org/apache/ws/security/WSSConfig.java

于 2016-01-05T11:22:21.973 回答