我们有一个关于 XML-sig 的问题,需要有关可选元素以及一些规范化和转换内容的详细信息。我们正在为一个非常小的 XML 语法有效负载编写规范,该有效负载将进入媒体文件的元数据,并且需要通过加密签名。与其重新发明轮子,我们认为我们应该使用 XML-sig 规范,但我认为其中大部分对于我们需要的东西来说都是多余的,因此我们希望与了解细节的人有更多的信息/对话。
具体来说,如果 XML 非常基本,没有用于格式化的选项卡并且特定于我们的需求,我们是否需要关心转换或规范化?
Rob Cromar
问问题
559 次
3 回答
0
您能否告诉我们您正在使用的技术,因为这些东西周围有一些有趣的部分和一些捷径......即 WSE2 是复杂的野兽,我不喜欢出错!
我不喜欢开发人员这样做,并且有像 SSL Accelorates 这样的 WSE2 加速器,因为加密处理的成本很高,最好将其从正常代码和开发领域中移除。
如果这是您的选择 -试试看这个 - ForumSystems
于 2008-08-13T07:52:51.123 回答
0
如果存在不执行 XML 签名而只是将 XML 视为字节流并对其进行签名的选项,请执行此操作。它将更容易实现、更容易理解、更稳定(没有规范化、转换、策略......)并且速度更快。
如果您绝对必须拥有 XML DSIG(遗憾的是,我们中的一些人必须拥有),那么这些天当然是可能的,但有很多很多警告。您需要良好的库支持,Java 是 JDK 1.6 开箱即用的,我不熟悉其他平台。您必须测试与已签名 XML 的接收端的互操作性,尤其是当它们可能在不同的平台上时。
请务必阅读Why XML Security Is Broken,它基本上涵盖了有关 XML 规范化的恐怖的所有基础,并提供了一些替代方案的指示。
于 2008-08-19T21:37:21.100 回答
0
如果您需要在代码中签署 XML,请检查XMLBlackbox,它为您提供规范化和所有其他转换。XMLBlackbox 还支持 XAdES。
于 2008-12-20T10:39:39.157 回答