如何仅签署 XML 的特定部分答案

【问题标题】：How to sign only specific part of XML如何仅签署 XML 的特定部分
【发布时间】：2012-09-20 12:18:52
【问题描述】：

我正在尝试通过仅对部分 xml 进行签名来做一些 XML 签名，但是经过大量搜索后我无法找到解决方案。

我正在使用 java 通过 Xpath2 转换和 EXCLUSIVE 规范化对 XML 进行签名。如果我有以下 XML

<?xml version="1.0" encoding="UTF-8"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
    <id>wsfrwerwerwer</id>
    <name>addr</name>
    <somenode>
        <trace>ND</trace>
    </somenode>
</header>
<payload><ns0:addr xmlns:ns0="http://someaddres/ad/m3"><ns2:data xmlns:ns2="http://someaddres/ad/m3">
            <ns2:name>somevalue</ns2:name>
            <ns2:value>354</ns2:value>
        </ns2:data>
    </ns0:addr>
</payload>
</msg>

并签名，我得到以下输出（真实数据替换为虚拟数据）

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
    <id>wsfrwerwerwer</id>
    <name>addr</name>
    <somenode>
        <trace>ND</trace>
    </somenode>
</header>
<payload>
    <ns0:addr xmlns:ns0="http://someaddres/ad/m3">
        <ns2:data xmlns:ns2="http://someaddres/ad/m3">
            <ns2:name>somevalue</ns2:name>
            <ns2:value>354</ns2:value>
        </ns2:data>
    </ns0:addr>
    <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
        <SignedInfo>
            <CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
            <SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
            <Reference URI="">
                <Transforms>
                    <Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
                        <XPath xmlns="http://www.w3.org/2002/06/xmldsig-filter2" xmlns:ns0="http://someaddres/ad/m3" Filter="intersect">//*[local-name()='addr']/*</XPath>
                    </Transform>
                </Transforms>
                <DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
                <DigestValue>sdlfjdeklsdfngf</DigestValue>
            </Reference>
        </SignedInfo>
        <SignatureValue>femhjgklnlkl</SignatureValue>
        <KeyInfo>
            <X509Data>
                <X509Certificate>swerwerwrwerwerwe</X509Certificate>
            </X509Data>
        </KeyInfo>
    </Signature>
</payload>
</msg>

如果我验证签名，一切都很好，但是这里的问题是，在此之后，我在 XML 中执行了一个 XSLT，它对某些元素执行了一些更改，但没有对保持不变的签名元素 (ns0:addr) 执行一些更改。即使我明确说应该只对“addr”元素进行签名，但如果我尝试对其任何父元素（payload、msg 或addr）执行更改，它也会在签名失败时（根据我的理解）它不应该。如果我对其他元素（例如标题内的任何内容）进行更改，签名仍然有效。

我已经测试了 XPath 表达式 (//*[local-name()='addr']/*) 并选择了要签名的正确数据 (ns2:data) 但它似乎也从根元素 (msg, addr)。

我也尝试过使用不同的转换，例如 UNION，但这根本不起作用。

有人知道问题可能是什么吗？在为调试目的而签署 XML 时，在 Java 中是否有任何方法可以准确查看正在签署的内容？

编辑：

稍后运行的 xslt 将执行诸如将命名空间从 ns0:addr 元素移动到根元素 (msg) 之类的事情，还将主元素名称和命名空间从 msg 更改为 newmsg（以及不同的默认命名空间）但保持签名数据 (ns2:data) 不变。

用于签名的代码或多或少是这里提到的代码http://docs.oracle.com/javase/7/docs/technotes/guides/security/xmldsig/XMLDigitalSignature.html

除了 ENVELOPED 转换，我使用的是 XPATH2 转换：

Map<String, String> namespaceMap = new HashMap<String, String>(0);
namespaceMap.put("ns0", "http://someaddres/ad/m3");
XPathType xPathType = new XPathType(xPathParameters, Filter.INTERSECT, namespaceMap);
List<XPathType> xPathList = new ArrayList<XPathType>(0);
xPathList.add(xPathType)
XPathFilter2ParameterSpec xPathFilter2ParameterSpec = new XPathFilter2ParameterSpec(xPathList);
transform = fac.newTransform(CanonicalizationMethod.XPATH2, xPathFilter2ParameterSpec);

而且我使用的是 EXCLUSIVE 而不是 ENVELOPED

canonicalisationMethod = fac.newCanonicalizationMethod(CanonicalizationMethod.EXCLUSIVE, (C14NMethodParameterSpec) null);

EDIT2：

我已经设法对 xml 签名过程进行了更精细的调试，并得到了以下结果：

FINER: Pre-digested input: 21-Sep-2012 10:51:39 org.jcp.xml.dsig.internal.DigesterOutputStream write FINER: <ns2:data xmlns="http://someaddress/ad/m1" xmlns:ns0="http://someaddres/ad/m3" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://someaddres/ad/m3"> <ns2:name>somevalue</ns2:name> <ns2:value>354</ns2:value> </ns2:data>

它似乎在对正确的数据进行签名，但它还在签名中添加了一些额外的命名空间，这让我想知道这是否是问题所在，因为这些命名空间是从父元素中获取的。

有人知道如何让它不添加所有额外的命名空间吗？

【问题讨论】：

是的，您正在签署完整的 XML（只需查看 <Reference URI="">）。你能告诉我们你用来签署 XML 文档的代码吗？
我会在稍后再次放在它前面时尝试放置一些代码。是的 uri="" 但是这是由于使用 xpath 而不是选择签名的节点。不应该是这样吗？此外，如果我更改其他内部节点（例如标头），签名仍然有效，这使我相信某些东西正在以不应该的方式工作。
我觉得没问题。您可以在 xslt 转换后列出您的 XML 吗？另外，当你说你修改了msg或payload时，你是添加子节点还是重命名？
其实我意识到我上面写的一个小错误。我实际上签署了ns2:data 元素而不是addr。转换后的 xml 更改了 msg 元素的命名空间和实际的 msg 元素本身（类似于 newmsg），并且还将 addr 元素的命名空间之一向上移动到根 msg 元素（此时称为 newmsg）。即使签名的元素没有改变，这也足以使签名无效。
我添加了更多信息

标签： java xml xpath xml-signature xml-dsig

【解决方案1】：

在与 XML 签名进行了多次斗争之后，我终于找到了一个可以接受的解决方案（尽管并不理想）。

事实证明，独占规范化是不够的。您还需要在所有其他转换器之后添加独占转换。按照我上面写的代码sn-ps：

List<Transform> transforms = new ArrayList<Transform>()
transforms.add(transform)
fac.newTransform(CanonicalizationMethod.EXCLUSIVE, (TransformParameterSpec) null)

这将使签名元素之外的任何其他命名空间都不会被考虑（尽管它具有允许在签名元素内插入命名空间的附加效果）。

此外，似乎 xpath 中指向已签名元素的任何元素都将被考虑在内，因此如果您有以下 xpath /root/A/B，它将对标签 B 进行签名，但是您将无法更改任一 A 的标签名称或根元素。

这可以通过使用包含较少元素的 xpath 来克服，例如 //B。

我相信也有可能克服这个问题，尽管到目前为止我还没有做到。

【讨论】：

【解决方案2】：

有一些与命名空间相关的参数可以传递给描述InclusiveNamespaces PrefixList 的Exclusive XML Canonicalization。

您可以尝试使用前缀列表将ExcC14NParameterSpec 传递给newCanonicalizationMethod()，以查看这是否会影响命名空间的规范化。

【讨论】：

谢谢。我试过使用这个：List<String> prefixList = new ArrayList<String>(); prefixList.add("ns2"); C14NMethodParameterSpec c14NMethodParameterSpec = new ExcC14NParameterSpec(prefixList); canonicalisationMethod = xmlSigFactory.newCanonicalizationMethod(CanonicalizationMethod.EXCLUSIVE, c14NMethodParameterSpec);，但没有发生任何变化。签名似乎会根据我是否在列表中添加更多或更少的前缀而改变，但它仍然不允许我更改应该签名的元素之上。