java - 在 Java 中创建的 XMLSignature 与 C# 不同

Question

这个问题快把我逼疯了。我必须使用由 dotNet 端点应用程序验证的 Java 签署 SOAPMessage。供应商为我们提供了一个示例 dotNet 客户端应用程序作为示例，所以我受到了这个示例应用程序的启发，以及互联网上的几个链接，如下所示:

http://www.java2s.com/Tutorial/Java/0410__Web-Services-SOA/SignSOAPmessage.htm

Java equivalent of C# XML signing method

正文(即签名内容)的结构是:

<Body>
    <inbound>
        <content>...text content...</content>
    </inbound>
</Body>

到目前为止，只有当文本内容不包含任何换行符时，我才能生成相同的签名(使用我的代码和供应商提供的示例代码)。一旦我的文本包含行定界符，签名值就不再相同了。

经过几天的搜索，我认为问题与规范化有关。

在 Java 中，以下代码:

...
Canonicalizer c14n = Canonicalizer.getInstance(Canonicalizer.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);
Element body = getNextSiblingElement(header);
byte outputBytes[] = c14n.canonicalizeSubtree(body);
FileUtils.writeByteArrayToFile(new File("C:\\tmp\\Canonicalized_java.xml"),outputBytes);
...

产生:

<s:Body xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" Id="uuid"><inbound><content>ABC&#xD;DEF&#xD;HIJ&#xD;</content></inbound></s:Body>

在 dotNet (c#) 中，以下代码:

...
using (MemoryStream nodeStream = new MemoryStream())
{
    XmlWriterSettings ws = new XmlWriterSettings();
    ws.NewLineHandling = NewLineHandling.None;
    using (XmlWriter xw = XmlWriter.Create(nodeStream, ws))
    {
        soapRequest.GetElementsByTagName("Body")[0].WriteTo(xw);
        xw.Flush();
    }
    nodeStream.Position = 0;

    XmlDsigExcC14NTransform transform = new XmlDsigExcC14NTransform();
    transform.LoadInput(nodeStream);
    using (MemoryStream outputStream = (MemoryStream)transform.GetOutput(typeof(Stream)))
    {
        File.WriteAllBytes("C:\\tmp\\Canonicalized_dotNet.xml", outputStream.ToArray());
    }
}
...

产生:

<s:Body xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" Id="uuid"><inbound><content>ABC
DEF
HIJ
</content></inbound></s:Body>

换行符只有 LF。 (请注意，原始内容仅包含 CR 作为换行符)。

如果需要，我可以提供更多源代码，但也许有人确切知道这里发生了什么。任何帮助将不胜感激。请注意，我无法更改 dotNet 端点应用程序验证 XML 签名值的方式。

编辑以下是消息正文的构建方式。我不明白为什么这不会产生与 Aaryn 的答案相同的结果:

public static void main(String[] args) throws Exception { 
    com.sun.org.apache.xml.internal.security.Init.init();
    SOAPMessage soapMessage = MessageFactory.newInstance().createMessage();
    SOAPEnvelope soapEnvelope = soapMessage.getSOAPPart().getEnvelope();
    SOAPBody soapBody = soapEnvelope.getBody();
    SOAPElement inboundMessage = soapBody.addChildElement("inbound");
    SOAPElement payload = inboundMessage.addChildElement("content");
    payload.addTextNode("ABC\rDEF\rGHI\r");
    Canonicalizer c14n = Canonicalizer.getInstance(Canonicalizer.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);
    byte outputBytes[] = c14n.canonicalizeSubtree(soapBody);
    System.out.println(new String(outputBytes));
}

输出:

<SOAP-ENV:Body xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"><inbound><content>ABC&#xD;DEF&#xD;GHI&#xD;</content></inbound></SOAP-ENV:Body>

编辑 2我做了更多测试，尝试在运行时构建 XML 而不是解析输入字符串。这是我的最后一次试验:

public static void main(String[] args) throws Exception {
    com.sun.org.apache.xml.internal.security.Init.init();
    Document doc = DocumentBuilderFactory.newInstance().newDocumentBuilder().newDocument();
    Element body = doc.createElement("Body");
    Element inbound = doc.createElement("inbound");
    Element content = doc.createElement("content");
    content.appendChild(doc.createTextNode("ABC\rDEF\rGHI\r"));
    doc.appendChild(body);
    body.appendChild(inbound);
    inbound.appendChild(content);
    Canonicalizer c14n =   Canonicalizer.getInstance(Canonicalizer.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);
    byte outputBytes[] = c14n.canonicalizeSubtree(body);
    System.out.println(new String(outputBytes));
}

输出仍然是

<Body><inbound><content>ABC&#xD;DEF&#xD;GHI&#xD;</content></inbound></Body>

我真的不明白。为什么 CR 被替换为 而不是像从输入字符串的解析构建文档时那样的 LF？？？

Answer 1

如果您发布的文档是您的实际输入，那么您的两个规范化都可能存在问题。在这种情况下，它们不会保留开始和结束标签之间的前导空格。在规范化文档之前，您是否对文档进行了任何类型的处理？在一个简单的测试程序中:

public static String test = "<Body>\n"
    + "    <inbound>\n"
    + "        <content>...text\r content\n...</content>\n"
    + "    </inbound>\n"
    + "</Body>";

public static void main(String[] args) throws Exception {
    com.sun.org.apache.xml.internal.security.Init.init();
    Canonicalizer c14n = Canonicalizer.getInstance(Canonicalizer.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);
    Element body = DocumentBuilderFactory.newInstance().newDocumentBuilder().parse(new ByteArrayInputStream(test.getBytes())).getDocumentElement();
    byte outputBytes[] = c14n.canonicalizeSubtree(body);
    System.out.println(new String(outputBytes));
}

空白的输出会按原样保留(受行分隔符规范化的影响)。我相信您在 Java 规范化之前的代码中做了一些事情，这正在逃避您的回车。大多数人都对 XML 规范化的空白保留感到惊讶，请参阅 W3C Canonicalization Specs .当我第一次处理它时，它确实把我绊倒了。

你在使用 XML Digital signatures或自定义签名？如果是 W3C，您应该能够使用 native 数字签名库。

回应编辑 1 和 2

Document.createTextNode(String data) 方法为您转义数据。这是为了防止您创建无效的 xml 文档(它还会转义 >、< 和其他字符)。它不执行 XML 规范化定义的行定界符规范化，而是转义字符，以便可以恢复原始文本。由于您似乎想自己执行行定界符规范化，因此您应该手动对输入字符串执行此清理:

    String text = "ABC\rDEF\rGHI\r";
    payload.addTextNode(text.replace("\r", "\n"));

Using CDATA sections might also be a solution for you.