gpt4 book ai didi

javascript - 验证 xml-crypto Node 模块生成的 xml 签名时出现问题

转载 作者:太空宇宙 更新时间:2023-11-04 00:52:34 25 4
gpt4 key购买 nike

我正在实现 SAML 2.0 node.js 身份提供商。作为概念证明,我想表明该服务可供 .net 消费者或服务提供商使用。我正在使用node-samlp图书馆。我遇到的问题是 xml SAMLResponse 由 npm 包签名,我正在尝试使用 .net Web 应用程序验证 xml 签名。验证失败...

这是我编写的用于服务身份提供者部分的 javascript:

function postSuccess(req,res,next,userId){
return ms.call('ms.ip.claims.getClaims').then(function(claims){
return samlp.auth({
cert: fs.readFileSync('c:\\temp\\test.pem').toString(),
key: fs.readFileSync('c:\\temp\\test.key').toString(),
signatureAlgorithm: 'rsa-sha1',
digestAlgorithm:'sha1',
getPostURL: function(wtrealm,wreply,req,callback){
callback(null,req.samlRequest.AssertionConsumerServiceURL);
},
profileMapper: profileMapper,
issuer: '<my-company>'
})(req,res,next);
});
}

这会生成 SAMLResponse 并将其成功发布回我的 .net Web 应用程序,但当我尝试验证 xml 文件的签名时遇到了问题。

这是.net端的验证代码:

            public bool IsValid(XmlDocument xmlDoc)
{
var cert = new X509Certificate2();
cert.Import("c:\\temp\\test.pfx", "password", X509KeyStorageFlags.DefaultKeySet);
var manager = new XmlNamespaceManager(xmlDoc.NameTable);
manager.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
var nodeList = xmlDoc.SelectNodes("//ds:Signature", manager);
var signedXml = new SignedXml(xmlDoc);
signedXml.SignedInfo.CanonicalizationMethod = SignedXml.XmlDsigExcC14NWithCommentsTransformUrl;
signedXml.LoadXml((XmlElement)nodeList[0]);
return signedXml.CheckSignature(cert, true);
}

Node 端使用的 pem 和 key 是从 .net 端使用的 pfx 证书生成的。我没有收到任何错误消息,只是 signedXml.CheckSignature(cert,true) 的错误结果。

任何建议都将不胜感激。

最佳答案

为了验证签名,您不需要提供密码并从 .pfx 加载私钥。这意味着您只需加载与 node-samlp 端使用的相同的 .pem 即可消除任何潜在的错误公钥问题。

我获取了您的示例代码并更改了这些行:

var cert = new X509Certificate2();
cert.Import("c:\\temp\\test.pfx", "password", X509KeyStorageFlags.DefaultKeySet);

对此:

var cert = new X509Certificate2(@"C:\temp\samlp.test-cert.pem");

(该文件是 node-samlp 的 provided with the test harness)。

使用下面的示例 Node Idp(也大部分是从 node-samlp 的测试工具中窃取的),它工作得很好:

var express = require('express');
var fs = require('fs');
var path = require('path');
var app = express();
var samlp = require('samlp');

var fakeUser = {
id: '12345678',
displayName: 'John Foo',
name: { familyName: 'Foo', givenName: 'John' },
emails: [ { type: 'work', value: 'jfoo@gmail.com' } ]
};

var options = {
issuer: 'http://myidp',
cert: fs.readFileSync(path.join(__dirname, 'samlp.test-cert.pem')),
key: fs.readFileSync(path.join(__dirname, 'samlp.test-cert.key')),
signatureAlgorithm: 'rsa-sha1',
digestAlgorithm:'sha1',
RelayState: 'test',
getPostURL: function (wtrealm, wreply, req, cb) {
return cb( null, 'http://localhost:2181/AuthServices/Acs')
},
getUserFromRequest: function(req){
return fakeUser
}
};

app.get('/samlp', samlp.auth(options));

var server = app.listen(3000, function () {
var host = server.address().address;
var port = server.address().port;

console.log('Listening at http://%s:%s', host, port);
});

警告其他稍后阅读的人:问题中的 .Net 代码只是概念证明。在现实生活中,您需要的不仅仅是这个来验证 SAML 断言并防止诸如XML Signature Wrapping attacks 。更建议使用已建立的 .Net SAMLP 组件(例如 KentorIT.AuthServices)或商业产品。 披露:我是 AuthServices 的贡献者(但不是所有者)。

关于javascript - 验证 xml-crypto Node 模块生成的 xml 签名时出现问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31687910/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com