php - 尝试在 PHP 中使用 x.509 证书对 SOAP 调用进行数字签名-6ren

php - 尝试在 PHP 中使用 x.509 证书对 SOAP 调用进行数字签名

转载作者：IT王子更新时间：2023-10-29 00:18:51

我正在与客户合作，尝试使用 PHP 发送和接收 soap 调用。他们设置了 ws-security，并使用 x.509 证书进行身份验证。我已经能够使用 SoapUI 使其正常工作，但我无法在 PHP 中使用它。

我遇到的问题是，他们不使用标准的二进制安全 token 或用户名/密码组合。他们改为在安全 token 引用中签署 XML 文件。

我一直在尝试使用 Rob Richards 的库来生成散列，它似乎包含了代码来完成我正在尝试做的事情，但我一直没有成功实现它。 (https://github.com/robrichards/wse-php)

这是我们应该得到的:

<soapenv:Envelope xmlns:ord="http://order.pine.cypresscare.com" xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
    <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
        <ds:Signature Id="SIG-17020931F46DA4F12E144355764463230" xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
            <ds:SignedInfo>
                <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
                    <ec:InclusiveNamespaces PrefixList="ord soapenv" xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                </ds:CanonicalizationMethod>
                <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#dsa-sha1"/>
                <ds:Reference URI="#id-17020931F46DA4F12E144355764463229">
                    <ds:Transforms>
                        <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
                            <ec:InclusiveNamespaces PrefixList="ord" xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                        </ds:Transform>
                    </ds:Transforms>
                    <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
                    <ds:DigestValue>BZc+DagseonF6kbBdtONG73wjcE=</ds:DigestValue>
                </ds:Reference>
            </ds:SignedInfo>
            <ds:SignatureValue>eIICrWiZerxelcSNUack5OKgvdSKYS3p5KdblFLVztYksExNoZ9wLQ==</ds:SignatureValue>
            <ds:KeyInfo Id="KI-17020931F46DA4F12E144355764463227">
                <wsse:SecurityTokenReference wsu:Id="STR-17020931F46DA4F12E144355764463228">
                    <wsse:KeyIdentifier EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3">
                         MIID... (Hash goes here)
                    </wsse:KeyIdentifier>
                </wsse:SecurityTokenReference>
            </ds:KeyInfo>
        </ds:Signature>
    </wsse:Security>
</soapenv:Header>

但我能得到的最好的是:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ord="http://order.pine.cypresscare.com">
<soapenv:Header>
    <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" soapenv:mustUnderstand="1">
        <wsse:BinarySecurityToken xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" wsu:Id="pfx7b827e06-1662-e6e4-78fd-6b4bb95aeb96" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3">
            MIIC... (Hash goes here)
        </wsse:BinarySecurityToken>
        <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
            <ds:SignedInfo>
                <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
                <ds:Reference URI="#pfx0b88133b-03ed-8bbc-8c8a-4998ef427a3a">
                    <ds:Transforms>
                        <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
                    </ds:Transforms>
                    <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
                    <ds:DigestValue>fPmwf05DIdXW4K9muNYR6LMXjnI=</ds:DigestValue>
                </ds:Reference>
            </ds:SignedInfo>
            <ds:SignatureValue>q36Dr2TIl1OE0/6bBMPb0dQRVCimwpOx7KeYyUCfxMZVIMvDBXxH+lCiB5xEgEH/aceUsn19b0GTU1LqISOk4/rhVBHGw2Wpq/jBcRZWOO54xZYdpGkqzepagazJWOWVVdDCAD7WpQV34KRu1rT4S4ZCjaOeApVIlI2nhPWRXVQ=</ds:SignatureValue>
            <ds:KeyInfo>
                <wsse:SecurityTokenReference>
                    <wsse:Reference ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3" URI="#pfx7b827e06-1662-e6e4-78fd-6b4bb95aeb96"/>
                </wsse:SecurityTokenReference>
            </ds:KeyInfo>
        </ds:Signature>
    </wsse:Security>
</soapenv:Header>

以及使这一切正常工作的 PHP 类:

<?php
class MySoap extends SoapClient {
    public function __doRequest($request, $location, $saction, $version) {
        $doc = new DOMDocument('1.0');
        $doc->loadXML($request);

        $objWSSE = new WSSESoap($doc);

        /* add Timestamp with no expiration timestamp */
        $objWSSE->addTimestamp();

        /* create new XMLSec Key using AES256_CBC and type is private key */
        $objKey = new XMLSecurityKey(XMLSecurityKey::RSA_SHA1, array('type' => 'public'));

        /* load the private key from file - last arg is bool if key in file (true) or is string (false) */
        $objKey->loadKey("c:\\xampp\htdocs\\XMLSoapApp\\cert1.pem", $isFile=true, true);

        /* Sign the message - also signs appropiate WS-Security items */
        $options = array("insertBefore" => true);

        $objWSSE->signSoapDoc($objKey, $options);

        /* Add certificate (BinarySecurityToken) to the message */ 
        $token = $objWSSE->addBinaryToken(file_get_contents(combine_key));

        /* Attach pointer to Signature */
        $objWSSE->attachTokentoSig($token);
        return $doc->saveXML();
    }
}

必须有一种方法可以轻松做到这一点，但我似乎错过了它。以前有人这样做过吗？

最佳答案

据我所知，您使用了错误的 key 类型:它应该是 XMLSecurityKey::DSA_SHA1，但您使用的是 XMLSecurityKey::RSA_SHA1。顺便说一句，lib 不支持第一个。但是还是可以解决的。您可以在下面找到我用来测试它的代码。

生成 key (great hint):

openssl dsa -in dsakey.private
openssl req -x509 -new -days 3650 -key dsakey.private -out dsakey.cert
openssl dsa -in dsakey.private -pubout -out dsakey.pub

修补库:

在 vendor/robrichards/xmlseclibs/src/XMLSecurityKey.php 第 216 行添加以下 case block :

case (self::DSA_SHA1):
  $this->cryptParams['library'] = 'openssl';
  $this->cryptParams['method']  = 'http://www.w3.org/2000/09/xmldsig#dsa-sha1';
  $this->cryptParams['padding'] = OPENSSL_PKCS1_PADDING;
  $this->cryptParams['digest']  = OPENSSL_ALGO_SHA1;
  if (is_array($params) && ! empty($params['type'])) {
    if ($params['type'] == 'public' || $params['type'] == 'private') {
      $this->cryptParams['type'] = $params['type'];
      break;
    }
  }
  throw new Exception('Certificate "type" (private/public) must be passed via parameters');
break;

运行签名功能:

use RobRichards\WsePhp\WSSESoap;
use RobRichards\XMLSecLibs\XMLSecurityKey;

$doc = new DOMDocument('1.0');
$doc->loadXML(file_get_contents('/request.xml'));

$objWSSE = new WSSESoap($doc);
$objWSSE->addTimestamp();

$objKey = new XMLSecurityKey(XMLSecurityKey::DSA_SHA1, ['type' => 'private']);

$objKey->loadKey('/dsakey.private', true);
$options = ['insertBefore' => true];
$objWSSE->signSoapDoc($objKey, $options);

$token = $objWSSE->addBinaryToken(file_get_contents('/dsakey.cret'));
$objWSSE->attachTokentoSig($token);

echo $doc->saveXML();

下面是我通过上面的代码片段获得的 XML 代码:

<?xml version="1.0" encoding="UTF-8"?>
    <soap:Envelope xmlns:soap="http://www.w3.org/2003/05/soap-envelope/" soap:encodingStyle="http://www.w3.org/2003/05/soap-encoding">
       <soap:Header>
          <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" soap:mustUnderstand="1">
             <wsse:BinarySecurityToken xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" wsu:Id="pfxc329505d-b83f-6587-529d-912489ee428d" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3">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</wsse:BinarySecurityToken>
             <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <ds:SignedInfo>
                   <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
                   <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#dsa-sha1" />
                   <ds:Reference URI="#pfxcd7e3884-68fd-dd2c-ce2e-a0f2db73d6b0">
                      <ds:Transforms>
                         <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
                      </ds:Transforms>
                      <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
                      <ds:DigestValue>RndT24MzjzRczZbfuqMp68c5fxI=</ds:DigestValue>
                   </ds:Reference>
                </ds:SignedInfo>
                <ds:SignatureValue>MC0CFQCjMCTZUSQSPSBtvp5Kq3rzXvf+YQIURYBRUczJ/3ZMpQzqdQ3k6s/D1Qk=</ds:SignatureValue>
                <ds:KeyInfo>
                   <wsse:SecurityTokenReference>
                      <wsse:Reference ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3" URI="#pfxc329505d-b83f-6587-529d-912489ee428d" />
                   </wsse:SecurityTokenReference>
                </ds:KeyInfo>
             </ds:Signature>
             <wsu:Timestamp xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="pfxcd7e3884-68fd-dd2c-ce2e-a0f2db73d6b0">
                <wsu:Created>2018-12-21T07:11:57Z</wsu:Created>
                <wsu:Expires>2018-12-21T08:11:57Z</wsu:Expires>
             </wsu:Timestamp>
          </wsse:Security>
       </soap:Header>
    </soap:Envelope>

关于php - 尝试在 PHP 中使用 x.509 证书对 SOAP 调用进行数字签名，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/33696404/

文章推荐： c++ - 在 C++ 共享对象文件中找到完整的函数定义

文章推荐： mysql - mysql中选择案例中的案例

文章推荐： linux - Linux 内核如何确定 __init 调用的顺序？

文章推荐： php - 如何从mysql查询中只获取一行

c# - 当这么多事情都可能出错时，你所做的就是尝试，尝试，尝试
说真的，你怎么能在不发疯的情况下处理所有这些异常呢？我是不是读了太多关于异常处理的文章或什么？我尝试重构了几次，但每次似乎都以更糟糕的结果告终。也许我应该承认确实会发生异常(exception)情况，
Elixir - 尝试/捕获 vs 尝试/救援？
背景两者 try/rescue和 try/catch是 Elixir 中的错误处理技术。根据 corresponding chapter在介绍指南中。 Errors can be rescued u
尝试:后Python缩进错误
每当我尝试在 Raspberry PI 上运行此 python 脚本时，我都会遇到问题: import socket import sys # Create a TCP/IP socket sock
PHP 尝试，捕获优先级和继承
我想知道一些关于 PHP 的 try , catch声明。让我们考虑以下示例。 abstract class ExceptionA extends Exception {} class Except
Laravel 多重身份验证::尝试
我的 laravel v5.4 项目中有两个模型，user 和 admin。在 config/auth.php 中，我向守卫和提供者添加了管理员，如下所示: 'guards' => [ 'w
python - 尝试/使用Python请求模块的正确方法？
try: r = requests.get(url, params={'s': thing}) except requests.ConnectionError, e: print e
javascript - 尝试/捕获不捕获快速异步功能中的所有错误？
我有以下代码。但是，它并不能捕获所有错误，而我仍然会收到“throw er;//未处理的'错误'事件”。为什么是这样？ app.post('/api/properties/zip/:zip/bed
powershell - 尝试/捕获非法字符
问题与细节我正在使用自定义错误处理，遇到的错误之一是“路径中的非法字符”。我有一个自定义函数，旨在通过路径字符串查找此类非法字符，并在找到它们时引发自定义错误。但是我发现，取决于非法字符，Test-
python - 尝试/除外未捕获错误
This question already has answers here: How do I catch a numpy warning like it's an exception (not j
matlab - 尝试/捕获并使用空字符串错误
我正在使用其他人的代码，但我不熟悉try/catch，因此我举了一个类似的小例子。在第11行上，如果我写了error('')，似乎没有发现错误并增加了索引j。但是，编写error(' ')或error
python - 尝试/除非不排除ValueError
我在我的一个程序中遇到了这个问题，在这种情况下，尝试/异常(exception)的错误使程序变得更好，以防用户意外输入了他们不应该输入的内容。它仍然给我错误，我为为什么感到困惑。如果对我的问题确实很重
tsql - 尝试…将错误捕获到错误日志表中
我在尝试TRY ... CATCH块时遇到问题。有人可以解释为什么以下代码无法执行我的sp吗？ DECLARE @Result int SET @Result = 0 BEGIN TRY SE
PowerShell 尝试/捕获并重试
我有一个相当大的 powershell 脚本，其中包含许多(20 多个)执行各种操作的函数。现在所有代码实际上都没有任何错误处理或重试功能。如果某个特定的任务/功能失败，它就会失败并继续。我想改进
java - 尝试/捕获和输入不匹配异常
为什么我尝试时需要导入 inputmismatchException catch(InputMismatchException e){ System.out.println("
java - 尝试/捕获异常未按计划工作
我对此感到困惑 - 我为辅助方法编写了一个 try/catch 。它的目的是捕获任何无效输入(任何不是“男性”或“女性”的内容(没有特定情况)。如果输入无效，它将通知用户，然后让他们重试。如果有效，则
java - 尝试..捕获场景
我有时会发现自己处于如下场景。尽可能简单地陈述问题 “有时我会创建一段代码，Java 让我将其包含在 try/catch 语句中。我没有使用 catch，所以我将其留空。为什么这是错误的？” boo
java - 尝试/捕获错误
我有点困惑为什么当我不使用 Try block 时会出现 Try block 错误。我在代码块底部附近收到错误通知。如果我不使用 try/catch，有人可以向我解释为什么会发生这种情况吗？它是否
java - 尝试 while 循环时编码出错
我已经盯着我的电脑两个小时了，我不知道我做错了什么。谁能帮助我看到光明？ package blackjack; import java.util.Random; import java.util.Sc
java - 尝试 - 捕获枚举
我想将方法保存在 Enum 中，但 Class.getDeclaredMethod 抛出 NoSuchMethodException，那么我该如何处理呢？我的代码: public enum Car
Python 尝试...除了命令行
这个问题已经有答案了: Executing multi-line statements in the one-line command-line (18 个回答) 已关闭 3 年前。如何使用try.

IT王子

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

php - 尝试在 PHP 中使用 x.509 证书对 SOAP 调用进行数字签名