用Java创建的XMLSignature与C#不同

本文关键字：不同 XMLSignature Java 创建 | 更新日期: 2023-09-27 18:33:34

这个问题让我发疯。我必须使用Java对SOAPMessage进行签名，该SOAPMessage由dotNet端点应用程序验证。供应商为我们提供了一个示例 dotNet 客户端应用程序作为示例，因此我受到此示例应用程序和互联网上的几个链接的启发，如下所示：

http://www.java2s.com/Tutorial/Java/0410__Web-Services-SOA/SignSOAPmessage.htm

Java 等效于 C# XML 签名方法

正文的结构(即签名内容(为：

<Body>
    <inbound>
        <content>...text content...</content>
    </inbound>
</Body>

到目前为止，只有在文本内容不包含任何换行符的情况下，我才能生成相同的签名(使用我的代码和供应商提供的示例签名(。一旦我的文本包含行分隔符，签名值就不再相同。

经过几天的搜索，我认为问题与规范化有关。

在 Java 中，以下代码：

...
Canonicalizer c14n = Canonicalizer.getInstance(Canonicalizer.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);
Element body = getNextSiblingElement(header);
byte outputBytes[] = c14n.canonicalizeSubtree(body);
FileUtils.writeByteArrayToFile(new File("C:''tmp''Canonicalized_java.xml"),outputBytes);
...

生产：

<s:Body xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" Id="uuid"><inbound><content>ABC&#xD;DEF&#xD;HIJ&#xD;</content></inbound></s:Body>

在dotNet(c#(中，以下代码：

...
using (MemoryStream nodeStream = new MemoryStream())
{
    XmlWriterSettings ws = new XmlWriterSettings();
    ws.NewLineHandling = NewLineHandling.None;
    using (XmlWriter xw = XmlWriter.Create(nodeStream, ws))
    {
        soapRequest.GetElementsByTagName("Body")[0].WriteTo(xw);
        xw.Flush();
    }
    nodeStream.Position = 0;
    XmlDsigExcC14NTransform transform = new XmlDsigExcC14NTransform();
    transform.LoadInput(nodeStream);
    using (MemoryStream outputStream = (MemoryStream)transform.GetOutput(typeof(Stream)))
    {
        File.WriteAllBytes("C:''tmp''Canonicalized_dotNet.xml", outputStream.ToArray());
    }
}
...

生产：

<s:Body xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" Id="uuid"><inbound><content>ABC
DEF
HIJ
</content></inbound></s:Body>

其中换行符仅为 LF。(请注意，原始内容仅包含 CR 作为换行符(。

如果需要，我可以提供更多源代码，但也许有人确切地知道这里发生了什么。任何帮助将不胜感激。请注意，我无法更改 dotNet 终结点应用程序验证 XML 签名值的方式。

编辑以下是消息正文的构建方式。我不明白为什么这不会产生与 Aaryn 的 anwser相同的结果：

public static void main(String[] args) throws Exception { 
    com.sun.org.apache.xml.internal.security.Init.init();
    SOAPMessage soapMessage = MessageFactory.newInstance().createMessage();
    SOAPEnvelope soapEnvelope = soapMessage.getSOAPPart().getEnvelope();
    SOAPBody soapBody = soapEnvelope.getBody();
    SOAPElement inboundMessage = soapBody.addChildElement("inbound");
    SOAPElement payload = inboundMessage.addChildElement("content");
    payload.addTextNode("ABC'rDEF'rGHI'r");
    Canonicalizer c14n = Canonicalizer.getInstance(Canonicalizer.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);
    byte outputBytes[] = c14n.canonicalizeSubtree(soapBody);
    System.out.println(new String(outputBytes));
}

输出：

<SOAP-ENV:Body xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"><inbound><content>ABC&#xD;DEF&#xD;GHI&#xD;</content></inbound></SOAP-ENV:Body>

编辑 2我做了更多的测试，尝试在运行时构建 XML，而不是解析输入字符串。这是我的最后一次试用：

public static void main(String[] args) throws Exception {
    com.sun.org.apache.xml.internal.security.Init.init();
    Document doc = DocumentBuilderFactory.newInstance().newDocumentBuilder().newDocument();
    Element body = doc.createElement("Body");
    Element inbound = doc.createElement("inbound");
    Element content = doc.createElement("content");
    content.appendChild(doc.createTextNode("ABC'rDEF'rGHI'r"));
    doc.appendChild(body);
    body.appendChild(inbound);
    inbound.appendChild(content);
    Canonicalizer c14n =   Canonicalizer.getInstance(Canonicalizer.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);
    byte outputBytes[] = c14n.canonicalizeSubtree(body);
    System.out.println(new String(outputBytes));
}

而且输出仍然

<Body><inbound><content>ABC&#xD;DEF&#xD;GHI&#xD;</content></inbound></Body>

我真的不明白。为什么 CR 被替换为  而不是 LF，就像从输入字符串???的解析构建文档时一样

用Java创建的XMLSignature与C#不同

如果您发布的文档是您的实际输入，则您的两个规范化都可能存在问题。在这种情况下，它们不会保留开始标记和结束标记之间的前导空格。在规范化文档之前，您是否对文档进行了任何类型的处理？在一个简单的测试程序中：

public static String test = "<Body>'n"
    + "    <inbound>'n"
    + "        <content>...text'r content'n...</content>'n"
    + "    </inbound>'n"
    + "</Body>";
public static void main(String[] args) throws Exception {
    com.sun.org.apache.xml.internal.security.Init.init();
    Canonicalizer c14n = Canonicalizer.getInstance(Canonicalizer.ALGO_ID_C14N_EXCL_OMIT_COMMENTS);
    Element body = DocumentBuilderFactory.newInstance().newDocumentBuilder().parse(new ByteArrayInputStream(test.getBytes())).getDocumentElement();
    byte outputBytes[] = c14n.canonicalizeSubtree(body);
    System.out.println(new String(outputBytes));
}

空格的输出将按原样保留(受行分隔符规范化的影响(。我相信您正在 Java 规范化之前的代码中做一些事情，该代码正在转义您的回车符。XML 规范化的空白保留令大多数人感到惊讶，请参阅 W3C 规范化规范。当我第一次不得不处理它时，它肯定会绊倒我。

您使用的是 XML 数字签名还是自定义签名？如果是 W3C，您应该能够使用本机数字签名库。

响应编辑 1 和 2

Document.createTextNode(String data( 方法为您转义数据。这是为了防止您创建无效的 xml 文档(它还将转义>、

    String text = "ABC'rDEF'rGHI'r";
    payload.addTextNode(text.replace("'r", "'n"));

使用 CDATA 部分也可能是适合您的解决方案。