Я разрабатываю веб-сервер SOAP на Java, в котором мои ответы должны быть снабжены метками времени и подписаны.Узлами для подписи являются BODY и TIMESTAMP.
Проблема заключается в том, что метод XmlSignature.sign разбирает эти узлы, помещая атрибут пространства имен BEFORE атрибут Id в оба BODYи теги TIMESTAMP, и строка исходящего ответа, не маршалируемая JAX-WS, помещает атрибут пространства имен ПОСЛЕ Идентификатор.
В результате вычисленное значение дайджеста этих узловлогер не действителен, то есть:
Actual Digest: ljf4iIFTgpHUDKtLjYJEto9Ro5k=
Expected Digest: iIYWShXDG4o8f/9L08d+apVsGx0=
Я думаю, если бы я мог указать порядок атрибутов для unmarshaller (в подписи или в ответном сообщении), я также мог бы сделать порядок совпадения, но яМне не удалось это сделать.
Я протестировал SOAPHandler для перехвата ответа, но не нашел способа изменить порядок атрибутов сообщения.
Это код XML для сгенерированного узла TimeStamp.по классам сигнатур:
<wsu:Timestamp xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="TS-1000">
<wsu:Created>2019-09-19T10:00:00.000Z</wsu:Created>
<wsu:Expires>2019-09-19T10:05:00.000Z</wsu:Expires>
</wsu:Timestamp>
И это код XML для узла TIMESTAMP, который отправляется в ответе:
<wsu:Timestamp wsu:Id="TS-1000" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<wsu:Created>2019-09-19T10:00:00.000Z</wsu:Created>
<wsu:Expires>2019-09-19T10:05:00.000Z</wsu:Expires>
</wsu:Timestamp>
Ито же самое для узла тела.Подпись:
<S:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="Body-1000">
<AsignacionNotarioResponse xmlns="http://ancert.notariado.org/XML">
<CodigoRespuesta>0</CodigoRespuesta>
<IdNotificacionCGN>371003</IdNotificacionCGN>
</AsignacionNotarioResponse>
</S:Body>
Отправлено:
<S:Body wsu:Id="Body-1000" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<AsignacionNotarioResponse xmlns="http://ancert.notariado.org/XML">
<CodigoRespuesta>0</CodigoRespuesta>
<IdNotificacionCGN>371003</IdNotificacionCGN>
</AsignacionNotarioResponse>
</S:Body>
Полный заголовок безопасности в ответе SOAP:
<SOAP-ENV:Header>
<wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">
<wsse:BinarySecurityToken EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3" wsu:Id="X509Token-1000" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">MIIHdDCCBVygAwIBAgIQDOHw8dChstzYGWhilSpZhjANBgkqhkiG9w0BAQsFADCBgTELMAkGA1UEBhMCRVMxQTA
...OMITED... ==</wsse:BinarySecurityToken>
<wsu:Timestamp wsu:Id="TS-1000" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<wsu:Created>2019-09-19T10:00:00.000Z</wsu:Created>
<wsu:Expires>2019-09-19T10:05:00.000Z</wsu:Expires>
</wsu:Timestamp>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#Body-1000">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>5yQ7ZdxYjr3pxySKrVbA0/98a4s=</ds:DigestValue>
</ds:Reference>
<ds:Reference URI="#TS-1000">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>sEY89etI7c+uGrFPh7W59nu/4ac=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>CFsbgg+AbV6iiMqWbiZmCacMeZcmcrsW2Eub5B1bUzLsCnygrFZDv/WEI5R3CyS6nvSPNvr7TKXg
W235F2mPYSUXFLun/IPYU+0BsMYMLxFF4qMX2pXRFgtXWt9zmhBIf1rl+iuG8mTqUGR0eYMrxW0B
KxpAIgAEAUZmWuP7vHcnfPrEhR2+N7S4BOVloSlVFoekh1tr0njH1RDR3WYyP8XszeZdzaQmDHKl
QONJQ5zjpaHk/TCMLhiSib+aDAeF4MaT73eo68rM5HNyD4b5EKty+z+bE6GPsS/lR8TFbP0uwLDz
9uKiM0l7fM1ctEd3RORkveXvSXGZlKQ+HKmISA==</ds:SignatureValue>
<ds:KeyInfo Id="KI-1000">
<wsse:SecurityTokenReference wsu:Id="STR-1000" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">
<wsse:Reference URI="#X509Token-1000"/>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
</ds:Signature>
</wsse:Security>
</SOAP-ENV:Header>
Это моя процедура, используемая для добавления цифровой подписи вSOAP-сообщение:
/**
* Genera la firma del mensaje SOAP.
*
* @param privateKey Clave privada
* @param soapBody Cuerpo de la petición SOAP
* @param nodoSecurity Nodo Security
* @param nodoSecurityTokenReference Nodo SecurityTokenReference
* @param nodoTimestamp Nodo timestamp
*
* @throws CgnException Error al generar la firma del mensaje
*/
private static void crearFirmaSeparada(PrivateKey privateKey, SOAPBody soapBody, SOAPElement nodoSecurity, SOAPElement nodoSecurityTokenReference,
SOAPElement nodoTimestamp) throws CgnException
{
String uri_algoritmo_digest = "http://www.w3.org/2000/09/xmldsig#sha1";
String uri_algoritmo_firma = "http://www.w3.org/2000/09/xmldsig#rsa-sha1";
String uri_algoritmo_transformacion = "http://www.w3.org/2001/10/xml-exc-c14n#";
String uri_algoritmo_canonizacion = "http://www.w3.org/2001/10/xml-exc-c14n#";
try {
// Creamos un el DOM XMLSignatureFactory que utilizaremos para generar la firma
String providerName = System.getProperty("jsr105Provider", "org.jcp.xml.dsig.internal.dom.XMLDSigRI");
Provider provider = (Provider) Class.forName(providerName).newInstance();
XMLSignatureFactory xmlSignatureFactory = XMLSignatureFactory.getInstance("DOM", provider);
// Digest method
javax.xml.crypto.dsig.DigestMethod digestMethod = xmlSignatureFactory.newDigestMethod(uri_algoritmo_digest, null);
List <Transform> l_transformaciones = new ArrayList();
// Transformaciones
Transform envTransform = xmlSignatureFactory.newTransform(uri_algoritmo_transformacion, (TransformParameterSpec) null);
l_transformaciones.add(envTransform);
// Referencias al timestamp y al body
String id_key_info = "KI-1000";
List <Reference> l_referencias = new ArrayList();
Reference refTS = xmlSignatureFactory.newReference("#TS-1000", digestMethod, l_transformaciones, null, null);
Reference refBody = xmlSignatureFactory.newReference("#Body-1000", digestMethod, l_transformaciones, null, null);
l_referencias.add(refBody);
l_referencias.add(refTS);
CanonicalizationMethod cm = xmlSignatureFactory.newCanonicalizationMethod(uri_algoritmo_canonizacion, (C14NMethodParameterSpec) null);
SignatureMethod sm = xmlSignatureFactory.newSignatureMethod(uri_algoritmo_firma, null);
SignedInfo signedInfo = xmlSignatureFactory.newSignedInfo(cm, sm, l_referencias);
DOMSignContext signContext = new DOMSignContext(privateKey, nodoSecurity);
signContext.setDefaultNamespacePrefix("ds");
signContext.putNamespacePrefix("http://www.w3.org/2000/09/xmldsig#", "ds");
// Registramos los Id de los elementos (Requerido en últimas versiones de Java)
signContext.setIdAttributeNS(soapBody, NAMESPACE_WSU, "Id");
signContext.setIdAttributeNS(nodoTimestamp, NAMESPACE_WSU, "Id");
KeyInfoFactory keyFactory = KeyInfoFactory.getInstance();
DOMStructure domKeyInfo = new DOMStructure(nodoSecurityTokenReference);
KeyInfo keyInfo = keyFactory.newKeyInfo(java.util.Collections.singletonList(domKeyInfo), id_key_info);
XMLSignature signature = xmlSignatureFactory.newXMLSignature(signedInfo, keyInfo);
signContext.setBaseURI("");
signature.sign(signContext);
} catch (Exception ex) {
CgnException cgnex = new CgnException(Errores.ERR_PROC_GENERAR_FIRMA_MENSAJE, ex);
throw cgnex;
}
}
Я ожидаю, что подписанный XML совпадает с отправленным XML, поэтому значение дайджеста не изменяется.
Любая помощь будет принята с благодарностью.