c - xmlsec 库 - 获取签名 key 的主题-6ren

c - xmlsec 库 - 获取签名 key 的主题

转载作者：太空宇宙更新时间：2023-11-04 04:37:55

27

4

我正在使用 xmlsec库来验证 SAML 的签名断言。我的代码几乎与 verify4.c 相同xmlsec 网页上提供的示例。

我正在链接 xmlsec-openssl 库，因此使用 openssl 作为加密引擎。

我原以为 xmlsec 只有在使用我加载到 key 管理器中的特定证书之一签名时才会认为签名有效。

但是，如果使用任何可以由 openssl 验证的证书签名，签名似乎被认为是有效的。这意味着某人可以通过从受信任的根 CA 购买证书并使用它来签署他们想要的任何响应来伪造 SAML 响应。

不仅如此，xmlsec1库提供的命令行工具似乎做同样的事情:

xmlsec1 --verify --dtd-file saml.dtd --pubkey-cert-pem my_cert.cer sample_saml_assertion.xml

...
OK
SignedInfo References (ok/all): 1/1
Manifests References (ok/all): 0/0

实际上，在理想情况下，我很乐意使用任何有效的签名 key ，只要我能识别 key 的主题并因此确认它是由我期望的实体签名的。当 SAML 响应的发送者更改他们的签名 key 时，这将简化事情。但是我一直无法找到一种简单的方法来提取用于验证签名的证书的详细信息。

如果做不到这一点，我可以让它只接受我在验证签名时指定的证书吗？

最佳答案

在写问题时我意识到我没有尝试过 xmlsec1 的 --print-debug 选项。当我尝试时，我发现它确实打印了用于验证签名的证书的主题和颁发者。

这让我意识到信息必须存在，所以这是一个如何访问它的问题。追踪代码，我能够编写这个小片段来实现这个目的:

/* If signature is valid, then the list dsigCtx->signKey contains
   the signing key, data dsigCtx->signKey->dataList contains the certificate */
xmlSecPtrListPtr keyDataList = dsigCtx->signKey->dataList;

/* Iterate through the data list to find the X509 cert */
xmlSecSize n = xmlSecPtrListGetSize(keyDataList);
xmlSecSize i;
for (i=0; i<n; i++) {
    xmlSecKeyDataPtr item = xmlSecPtrListGetItem(keyDataList, i);
    if (xmlSecKeyDataIsValid(item) && xmlSecKeyDataCheckId(item, xmlSecOpenSSLKeyDataX509Id)) {

        /* Extract openssl cert */
        X509* cert = xmlSecOpenSSLKeyDataX509GetKeyCert(item);
        char cn_buff[256];
        if(cert != NULL) {
            /* Get the CN */
            X509_NAME * subject_name = X509_get_subject_name(cert);
            int nid_cn = OBJ_txt2nid("CN");
            X509_NAME_get_text_by_NID(subject_name, nid_cn, cn_buff, 255);

            /* Here you would compare it to the expected certificate */
            fprintf(stdout, "CN=%s\n", cn_buff);
        } else {
            fprintf(stdout, "Failed to obtain signing key cert\n");
        }
    }
}

要获得如此基础的东西，这似乎是一种非常复杂的方法，所以我相信一定有更简单的方法。

关于c - xmlsec 库 - 获取签名 key 的主题，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/29223280/

27

4

0

文章推荐： c - 如何在 Gstreamer 中修改音频流的播放速度？

文章推荐： linux - 如何在 x64 中创建 thunk？

文章推荐： r - 配置 Scalpel 来恢复 R 文件？

文章推荐： c - 实现二叉树时出现Segmentation Fault (Core Dumped)

java - Android 主题.AppCompat 主题
这个问题已经有答案了: Cannot create AlertDialog: AppCompat error (2 个回答) 已关闭 6 年前。当我在列表项中调用警报对话框时，我的应用程序崩溃了。我
angular - node_modules/rxjs/主题 "' has no exported member ' 主题'
我在 Angular 应用程序中安装了 Material UI，现在我收到错误，没有导出的成员 Observable 错误，我删除了节点模块并重新安装，问题仍然存在 ERROR in node_mo
java - 'exactly once' 是否仅适用于流(主题 1 -> 应用程序 -> 主题 2)？
我有一个架构，其中有两个独立的应用程序。原始来源是一个sql数据库。 App1 监听 CDC 表以跟踪对该数据库中表的更改、规范化和序列化这些更改。它获取这些序列化消息并将它们发送到 Kafka 主题
android - 主题 Material Android : You need to use a Theme. AppCompat 主题(或后代)与设计库
这个问题在这里已经有了答案: Material Design, AppCompat, and Backwards Compatibility (1 个回答) 关闭 6 年前。我收到如下错误信息:
.net - 使 WPF 应用程序看起来像 Metro 风格，即使在 Windows 7 中也是如此？ (窗口 Chrome/主题/主题)
我喜欢新 Office 套件和 Visual Studio 上的窗口镶边: 当然，我仍在为 Windows 7 开发应用程序，但我想知道是否有一种快速且简单的方法(阅读:WPF 样式或 Windows
android - _HoloActivity$HoloThemeException : You must apply Holo. 主题，Holo.Theme.Light 或 Holo.Theme.Light.DarkActionBar 主题
我正在使用 HoloEverywhere-1.6.8。我有一个基于 Holo.Theme 的自定义主题。 ... 我遇到了下面的崩溃，但它只出现在以下设备上: Galaxy Tab 10.1 P
Angular DevExtreme 主题
我正在尝试为 Angular 的 DevExtreme 小部件加载主题。我采用了不同的方法: 在 angular.json 中设置样式但不会产生任何影响: "projects": { "my-proj
android - 扩展外部应用程序样式/主题
我想定义一个 android 样式，它扩展了一个在不同的应用程序/包中定义的样式，而不是作为库导入。从对android资源的xml引用的定义here : @[:]/ 似乎可以在定义资源的地方指定一个
android - 主题、样式和别名嵌套不起作用
我正在尝试测试一种制作主题的方法，但我使用的方法并没有给我预期的结果。这是我的设置: drawable/dummy.xml 值/mythemes.xml @style
IMAP FETCH 主题
通过 telnet 使用 IMAP，我希望能够从特定的给定电子邮件中提取主题。现在我知道 fetch 命令负责从电子邮件中获取数据。我的问题是，如何在不使用对 BODY[HEADER.FIELDS
RStudio knitr 主题
我刚刚开始使用 RStudio 中的一些新的 knitr 功能。我已经尝试在 R Markdown 设置对话框中选择几个不同的主题，但这些似乎对我生成的文档的样式没有任何明显的影响。应该，还是我错过
CSS 模块和多个布局/主题？
在我的应用程序中，我有多种主题样式(您可以将它们视为不同的、单独的 CSS 样式文件)。我想开始使用 CSS 模块，但我什至不知道如何 import我的第一个文件。让我们假设以下(简单)目录结构:
Azure 主题 - 同一订阅上的多个监听器
有没有一种方法可以在一个 Azure 主题订阅上拥有多个监听客户端，并且它们都接收所有消息？我的理解是订阅的唯一实现是发布的消息仅传递到该订阅上的一个客户端，因为它就像一个队列。可以使用同一订阅将这
Vim:根据一天中的时间设置颜色/主题
我有一台 super 光滑的显示器，所以白天我可以比深色主题上的代码更好地看到自己的倒影。因此，我认为如果我可以在 vimrc 中有一个简单的 if 开关来根据一天中的时间设置深色主题或浅色主题，那就
themes - Symfony2 主题
我希望在我的 Symfony2 项目中提供基本的主题支持，因此我希望为每个主题提供单独的静态文件(css、js、img)。我尝试添加 assetic: read_from: %kernel
Azure 主题 - 同一订阅上的多个监听器
有没有一种方法可以在一个 Azure 主题订阅上拥有多个监听客户端，并且它们都接收所有消息？我的理解是订阅的唯一实现是发布的消息仅传递到该订阅上的一个客户端，因为它就像一个队列。可以使用同一订阅将这
Nolio NES 主题
在 NES 上有多个处于 WAITING 状态的“Discovery Worker”和“Keep Alive”线程是预期的行为吗？ "DiscoveryWorker-10" Id=62 WAITING
java - 根据图像修改背景颜色(主题)
我正在尝试找到最适合加载图像的颜色并将其应用到背景中。适应图像并使 UI 感觉更自然。到目前为止我已经找到了 2 个方案: 1> 平均像素(下面的代码): final Color acclimati
java - 主题网络环境中的本地问题
我知道每个请求都由一个 servlet 线程提供服务，但是对于一个用户 session ，两个请求是否可以由两个不同的线程提供服务？如果上述情况真的发生，那么第一个请求服务线程存储的线程局部变量被第
java - 主题、背景颜色和操作栏的交互
我无法理解操作栏外观与主题化之间的交互模式。我的应用设置为使用默认主题，我认为它是深色的: 通过应用范围内的样式从应用中删除操作栏会导致主要 Activity 的黑色背景: 没有 and

首页

博学

6Ren·AI

商城

c - xmlsec 库 - 获取签名 key 的主题