java - 使用 openSAML 签署响应-6ren

java - 使用 openSAML 签署响应

转载作者：塔克拉玛干更新时间：2023-11-03 05:29:50

我正在尝试通过签署响应而不是声明来实现 SAML 2.0。我有 3 个现有供应商在断言级别接受我的签名，但是一个新供应商在协议(protocol)/响应级别请求它。我已经用谷歌搜索和调试了大约 8 个小时，但找不到一个有效的例子来说明我做错了什么。我下面的代码清楚地显示了我在做什么，最后 10 行左右是我已经实现的差异(在 if/else 中)。此外，我注意到在我的 XML 中我的 SignatureValue 和 DigestValue 都是空的。谁能给我指出一些清晰的文档，或者更好的是，一个使用 openSAML 的有效响应签名的示例？在这一点上，任何帮助表示赞赏。

Assertion assertion = OpenSamlHelper.CreateSamlAssertion(
            issuer.trim(), recipient.trim(), domain.trim(), subject.trim(),
            attributes);        


    //
    // Sign
    //
    Credential signingCredential = getSigningCredential(keystore, storetype, storepass, alias, keypass);

    Signature signature = (Signature) Configuration.getBuilderFactory()
                            .getBuilder(Signature.DEFAULT_ELEMENT_NAME)
                            .buildObject(Signature.DEFAULT_ELEMENT_NAME);

    signature.setSigningCredential(signingCredential);
    signature.setSignatureAlgorithm(SignatureConstants.ALGO_ID_SIGNATURE_RSA_SHA1);               
    signature.setCanonicalizationAlgorithm(SignatureConstants.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);



            SecurityConfiguration secConfiguration = Configuration.getGlobalSecurityConfiguration(); 
            NamedKeyInfoGeneratorManager namedKeyInfoGeneratorManager = secConfiguration.getKeyInfoGeneratorManager(); 
            KeyInfoGeneratorManager keyInfoGeneratorManager = namedKeyInfoGeneratorManager.getDefaultManager();
            KeyInfoGeneratorFactory keyInfoGeneratorFactory = keyInfoGeneratorManager.getFactory(signingCredential);
            KeyInfoGenerator keyInfoGenerator = keyInfoGeneratorFactory.newInstance();
            KeyInfo keyInfo = null;
            try {
                keyInfo = keyInfoGenerator.generate(signingCredential);
            } catch  (Exception e) {
                logger.error(e);
            } 
            signature.setKeyInfo(keyInfo);

            String saml = "";
            try {
            MarshallerFactory marshallerFactory = Configuration.getMarshallerFactory();
    if (signatureType == SignatureType.Response) {
        response.setSignature(signature);
                    marshallerFactory.getMarshaller(response).marshall(response);
    }
    if (signatureType == SignatureType.Assertion) {
        assertion.setSignature(signature);
                    marshallerFactory.getMarshaller(assertion).marshall(assertion);
    }
        Signer.signObject(signature);

更新:我通过上述代码获得的 XML 不包含签名值或摘要值，如下所示。

<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#_651cc837-e890-46c7-9cf9-646ffd38aaad">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
<ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="xs"/>
</ds:Transform>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue/>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue/>

移动 Signer.signObject(signature) 之后；在断言附加到响应后的某一点，我收到以下 XML..

<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#_273e38e9-3b51-4845-8b8b-f0970e3e9bab">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
<ec:InclusiveNamespaces xmlns:ec="http://www.w3.org/2001/10/xml-exc-c14n#" PrefixList="xs"/>
</ds:Transform>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>UlVtsjSAvtjOLMbw+HUX9n7FtxM=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>
jM7GxZ77VBHuAatMXLx14s0ExOmmfDpBhCpF8OKV4F3C1BiRutM41aTH25yhgSn+6l4TkK6kEDbFOYI6isvJUhtdVgH4E1xJl0DFfvPJphTF096acvJrLPehpsFd2Ab6sARuV1sbg/gwNFzvlHJWgit5NxHNuFN1qcv3vuhvQ83fOfxxuyLyJrEjpqvbRzwWepHiuTVHlNObrUvjVxEc7AUKPtwTqGlA6y3SdzIDwjN/LsB1V6PWhiMZsbxJx3LUuk5UECOYmRhKQifZWdOdvHoWBq05J54I6RvAplNDTfRBr4AM+tfIz3OXpN6OpKdSC43HRg9LO9bXprui+4CvrQ==
</ds:SignatureValue>

最佳答案

我尝试使用此代码对响应进行签名和工件响应，只需将 entityDescriptor 切换为 artifactResponse 即可，效果很好。 https://blog.samlsecurity.com/2012/11/signing-with-opensaml.html

<?xml version="1.0" encoding="UTF-8"?><saml2p:ArtifactResponse xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" Version="2.0">
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>ZkE02ZnvIqyd+FcfL6PaXNI88Co=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>fDxfW06rbJEFu5nqmsGxwt6O53N8FWwmDOO0e3nUWh0in2TRYD9nj2927pnQZNL4Mk3KAcSWVETUuHX11XWL+MgcosfJd31TR0XEui/F+BbojQlXJRHfD2BfEO9cQCygFSyyOb9tE2FU5noqnx2b3vI5mToam3a135007mAN/t14Jm71EfvvCF9qL2wXI55R8uab0WGqXx1LYSrAjBZq455SH9AIQu+n8L+KaiOzfpjiL+h/5YJ/a+uyiLV6H06TsytowDTBSW67YW110fpoOsD5vgULrZOABmeK6NRZWpI8PK1M+/r6SO0DTEbUiSTYtHz9XBcqbnD9d7ZQ3oZpEQ==</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>MIIDaTCCAlGgAwIBAgIEeL6vczANBgkqhkiG9w0BAQsFADBlMQswCQYDVQQGEwJOTzENMAsGA1UE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</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
</saml2p:ArtifactResponse>

尝试跳过 KeyInfo 部分。您没有收到任何编码错误？

关于java - 使用 openSAML 签署响应，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/13368167/

文章推荐： c++ - std::stable_sort 根本不稳定？

文章推荐： algorithm - 找到给定算法的复杂性？

文章推荐： java - 如何使用内存映射文件在两个 JVM 之间进行通信？

Clickonce 签署 list
有人可以告诉我签署我的 clickonce 应用程序的步骤吗？如果从某人那里购买证书，我该如何安装它在我的开发盒以及我希望它运行的服务器上？请概述步骤。马尔科姆最佳答案以下是我相信您正在执行
android - 签署 APK 会中断安装
我正在使用命令行 jarsigner.exe -keystore Keys.jks base.apk debug0 使用我自己的 key 退出 APK ，在删除 META-INF/CERT.RSA、C
pdf - 签署 PDF 文件
我使用 iTextSharp 签署 PDF 文件。但是 Adobe Reader 无法验证我的签名。我使用证书颁发机构生成的 SHA-2 测试证书(我也尝试过 SHA-1)。我已经为该机构的测试证
.net - 签署 F# 程序集
我在尝试签署 F# 类库项目时遇到了很多麻烦。首先我试过这个thread ，使用 AssemblyKeyFileAttribute 但没有成功。我还尝试将标志“--keyfile:keyfile.
.net - 签署 .NET 程序集
我正在尝试掌握 .NET dll/程序集的正式签名。尤其何时以及如何使用私钥创建/控制私钥的最佳实践需要签署什么样的模块/最佳实践最佳答案请参阅使用 Strong Name Signatu
.net - 签署 .NET 程序集的最佳实践？
我有一个由五个项目组成的解决方案，每个项目都编译成单独的程序集。现在我正在对它们进行代码签名，但我很确定我做错了。这里的最佳做法是什么？用不同的 key 对每个签名；确保密码不同用不同的 key
.net - 签署 .NET 程序集的最佳实践？
我有一个由五个项目组成的解决方案，每个项目都编译为单独的程序集。现在我正在对它们进行代码签名，但我很确定我做错了。这里的最佳实践是什么？使用不同的 key 对每个签名进行签名；确保密码不同使用不同
java - 签署 SOAP 消息时出错
尝试在 Java 中签署 SOAP 消息时抛出异常: 14:47:39.896 [AWT-EventQueue-0] ERROR com.ui.FinestraPrincipal - WSHandle
java - 签署 JNLP 文件
我正在运行 java web start 应用程序。由于应用程序数字签名已过期。我已经从 CA 购买了签名，并使用 storetype 作为 pkcs12 对我的 jar 文件进行了签名。对 JNL
java - 签署 Jar 文件
我已经在jar中手动添加了一些类文件。并在服务器中替换。但服务器没有拿出这个新的 jar 说:java.lang.SecurityException:类“test.TestProcess2”的签名者信
java - 签署 Eclipse 插件始终有效
我想使用 keytool 对我的插件 jar 进行签名以生成 key 。我知道有 -validity 选项，但如何设置它以使插件始终有效且永不过期。谢谢最佳答案查看 keytool 文档: V
java - 签署 JAR 以允许其类访问互联网
我有一个需要互联网访问的 Java 应用程序，因为它通过 WebView 嵌入了 Web 浏览器。 JavaFX 组件。如果应用程序未打包在 Jar 中，则执行不会出现问题。但是，当打包在 Jar
activex - 签署 ActiveX 控件
我以前做过，但我完全忘记了如何签署 activeX 控件？最佳答案 Digital Signing for ActiveX Components (MSDN) 关于activex - 签署 Acti
macos - 此证书由未知授权钥匙串(keychain)签署
不知不觉中我删除了通常命名如下的钥匙串(keychain)系统证书 Software Signing com.apple.systemdefault com.apple.kerberos.kdc Ap
itext - 签署 PDF - 内存消耗
我尝试了一些基于 iText v1 或 v2 的数字 PDF 签名实用程序，发现似乎整个 PDF 都加载到内存中(对于 60M PDF 进程可能需要多达 300-400MB 的内存)。最近的 iTe
python - 签署 SimpleDB 请求
我正在尝试使用 Python 对 Amazon 的 SimpleDB 服务进行 API 调用。例如，我使用的是最简单的请求 ListDomains。然而，无论我如何尝试，响应始终是“我们计算的请求签名
java - 签署 jar 文件需要什么？
我的同事给了我一个Java项目来支持和增强。我需要签署 .jar 文件。我只找到了下一个文件:genkey.bat、project.cer、signjar.bat 和 keystore-jar.jar
c# - 签署 pdf 文件
目前我正在升级我的旧应用程序，它是使用 itextsharp 5.0.0 完成的到 5.4.5(最新)...但是我在获取等效代码时遇到了问题 PdfSignatureAppearance.SetCry
c# - 签署 API 请求时应包括的内容
如果我有一个作为 API 请求发送的复杂对象(例如下面的订单)，我应该在生成签名时包括所有属性还是应该只使用一个子集？我问是因为我不清楚，而且从查看其他 API 的请求参数来看，请求参数是扁平和简单
c# - 签署 WP7 项目的强名？
为什么 WP7 项目不支持强名称签名？项目属性中没有签名选项卡。无论如何，我已经使用 AssemblyInfo.cs 中的 AssemblyKeyFile 和 AssemblyDelaySign 属

塔克拉玛干

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

java - 使用 openSAML 签署响应