xml签名通过在xml文档中添加“数字指纹”来确保其完整性和来源可靠性。1. 其核心是元素,包含(含、、等子元素)、和;2. 支持三种签名模式:enveloped signature(签名嵌入文档内部)、enveloping signature(签名包裹内容)、detached signature(签名与内容分离);3. 可使用java的javax.xml.crypto、python的xmlsec、c#的system.security.cryptography.xml等库实现签名生成与验证;4. 广泛应用于电子发票、电子病历、金融交易、软件更新和web services安全等场景,确保数据不可篡改和身份可信。选择强哈希算法(如sha256)和足够密钥长度并定期更新密钥是保障安全的关键措施。
… … … Hello, world!
XML签名有哪些不同的签名模式?
XML签名支持多种签名模式,主要区别在于
元素在XML文档中的位置:
Enveloped Signature (信封签名):
元素是XML文档的根元素,它“包裹”着被签名的内容。上面的例子就是Enveloped Signature。
Enveloping Signature (内含签名):
元素包含被签名的内容。 也就是说,
元素本身是根元素,并且它内部包含了要签名的XML片段。
Detached Signature (分离签名):
元素和被签名的内容是分离的。
元素通过
URI
属性指向外部的XML文档。
选择哪种签名模式取决于具体的需求。Enveloped Signature 适合签名整个XML文档,而 Detached Signature 适合签名外部资源。
如何使用编程语言生成和验证XML签名?
许多编程语言都提供了XML签名库,可以简化签名和验证过程。
Java: Java的内置库
javax.xml.crypto
提供了XML签名API。你可以使用它来创建、验证XML签名。 Apache Santuario – XML Security for Java 也是一个流行的选择,提供了更丰富的功能和更好的性能。
// 使用 Java XML Digital Signature API 签名 XML 文档import javax.xml.crypto.*;import javax.xml.crypto.dsig.*;import javax.xml.crypto.dsig.dom.DOMSignContext;import javax.xml.crypto.dsig.keyinfo.*;import javax.xml.crypto.dsig.spec.*;import java.io.*;import java.security.*;import java.security.cert.Certificate;import java.util.*;import javax.xml.parsers.DocumentBuilderFactory;import org.w3c.dom.Document;public class XMLSigner { public static void main(String[] args) throws Exception { // 1. 加载 XML 文档 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setNamespaceAware(true); Document doc = dbf.newDocumentBuilder().parse(new File("document.xml")); // 2. 创建密钥对 KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA"); keyPairGenerator.initialize(2048); KeyPair keyPair = keyPairGenerator.generateKeyPair(); PrivateKey privateKey = keyPair.getPrivate(); PublicKey publicKey = keyPair.getPublic(); // 3. 创建 XMLSignatureFactory XMLSignatureFactory fac = XMLSignatureFactory.getInstance("DOM"); // 4. 创建 Reference 对象 Reference ref = fac.newReference ("", fac.newDigestMethod(DigestMethod.SHA256, null), Collections.singletonList (fac.newTransform (Transform.ENVELOPED, (TransformParameterSpec) null)), null, null); // 5. 创建 SignedInfo 对象 SignedInfo signedInfo = fac.newSignedInfo (fac.newCanonicalizationMethod (CanonicalizationMethod.INCLUSIVE_WITH_COMMENTS, (C14NMethodParameterSpec) null), fac.newSignatureMethod("http://www.w3.org/2001/04/xmldsig-more#rsa-sha256", null), Collections.singletonList(ref)); // 6. 创建 KeyInfo 对象 KeyInfoFactory kif = fac.getKeyInfoFactory(); List
Python:
xmlsec
库是一个不错的选择。它提供了对XML签名和加密的全面支持。
import xmlsecfrom lxml import etree# 1. 加载 XML 文档with open("document.xml", "r") as f: xml_data = f.read()root = etree.fromstring(xml_data.encode('utf-8'))# 2. 加载密钥with open("private.pem", "r") as f: private_key = f.read()# 3. 创建 XML Security Contextctx = xmlsec.DSigCtx()# 4. 加载密钥到 Contextkey = xmlsec.Key.from_memory(private_key, xmlsec.KeyDataFormat.PEM)ctx.sign_key = key# 5. 找到 Signature 节点 (如果已经存在,否则创建)signature_node = xmlsec.tree.find_node(root, xmlsec.constants.NodeSignature)if signature_node is None: signature_node = xmlsec.template.create(root, xmlsec.constants.TransformExclC14N11, xmlsec.constants.SigRsaSha256) root.append(signature_node) ref = xmlsec.template.add_reference(signature_node, xmlsec.constants.TransformSha256, uri=""); xmlsec.template.add_transform(ref, xmlsec.constants.TransformEnveloped) keyinfo = xmlsec.template.ensure_key_info(signature_node) xmlsec.template.add_key_name(keyinfo)# 6. 签名 XML 文档ctx.sign(signature_node)# 7. 输出签名后的 XML 文档print(etree.tostring(root, pretty_print=True).decode('utf-8'))
C# (.NET): .NET Framework 提供了
System.Security.Cryptography.Xml
命名空间,包含了XML签名相关的类。
using System;using System.IO;using System.Security.Cryptography;using System.Security.Cryptography.X509Certificates;using System.Security.Cryptography.Xml;using System.Xml;public class XMLSigner { public static void Main(string[] args) { try { // 1. 加载 XML 文档 XmlDocument doc = new XmlDocument(); doc.Load("document.xml"); // 2. 加载证书 X509Certificate2 cert = new X509Certificate2("certificate.pfx", "password"); // 替换为你的证书路径和密码 // 3. 创建 SignedXml 对象 SignedXml signedXml = new SignedXml(doc); signedXml.SigningKey = cert.PrivateKey; // 4. 创建 Reference 对象 Reference reference = new Reference(); reference.Uri = ""; // 签名整个文档 // 5. 添加转换 XmlDsigEnvelopedSignatureTransform env = new XmlDsigEnvelopedSignatureTransform(); reference.AddTransform(env); // 6. 将 Reference 添加到 SignedXml signedXml.AddReference(reference); // 7. 创建 KeyInfo 对象 KeyInfo keyInfo = new KeyInfo(); keyInfo.AddClause(new KeyInfoX509Data(cert)); // 8. 将 KeyInfo 添加到 SignedXml signedXml.KeyInfo = keyInfo; // 9. 计算签名 signedXml.ComputeSignature(); // 10. 获取 XML 签名 XmlElement xmlDigitalSignature = signedXml.GetXml(); // 11. 将签名添加到 XML 文档 doc.DocumentElement.AppendChild(doc.ImportNode(xmlDigitalSignature, true)); // 12. 保存签名后的 XML 文档 doc.Save("signed_document.xml"); Console.WriteLine("XML 文档已成功签名并保存为 signed_document.xml"); } catch (Exception e) { Console.WriteLine("发生错误: " + e.Message); } }}
这些示例代码展示了如何使用不同的编程语言和库来生成XML签名。验证过程类似,需要加载签名、提取公钥或证书,并使用相同的算法验证签名值。
XML签名在哪些场景下应用广泛?
XML签名在安全性要求较高的场景下应用广泛,例如:
电子发票: 确保发票的真实性和完整性,防止篡改。
电子病历: 保护患者隐私,防止病历被非法修改。
金融交易: 确保交易数据的安全性和不可抵赖性。
软件更新: 验证软件更新包的来源和完整性,防止恶意软件传播。
Web Services 安全: 在SOAP消息中使用XML签名来保证消息的完整性和身份验证。
选择合适的签名算法和密钥长度至关重要,并且需要定期更新密钥以应对新的安全威胁。
以上就是XML签名(XML Signature)的基本结构和作用是什么?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1430111.html
微信扫一扫
支付宝扫一扫
require用于声明项目运行必需的依赖,如框架、数据库组件和第三方SDK,这些包会随项目部署到生产环境;2. require-dev用于声明仅在开发和测试阶段需要的工具,如PHPUnit、PHPStan、Faker等,不会默认部署到生产环境;3. 安装时composer install根据环境决定…
推荐开源免费PHP开发工具以提升效率:VS Code、Sublime Text轻量高效,PhpStorm专业强大;调试用Xdebug、Kint、Ray;依赖管理选Composer;代码质量工具包括PHPStan、Psalm、PHP_CodeSniffer;数据库管理可用%ignore_a_1%MyA…
本教程旨在解决matplotlib地图可视化中,如何在一个图例中同时展示颜色块(如区域分类)和自定义标记(如特定兴趣点)的问题。文章详细介绍了当传统`patch`对象无法正确显示标记时,如何利用`matplotlib.lines.line2d`创建标记图例句柄,并将其与颜色块图例句柄合并,从而生成一…
本教程探讨golang中如何高效控制结构体字段在json序列化时的可见性。当需要将包含敏感信息的结构体数组转换为json响应时,通过利用`encoding/json`包提供的结构体标签,特别是`json:”-“`,可以轻松实现对特定字段的忽略,从而避免敏感数据泄露,确保api…
本文旨在探讨Python中海象运算符(:=)在条件赋值场景下的应用。通过对比传统if/else语句与海象运算符,以及条件表达式,分析海象运算符在简化代码、提高可读性方面的优势与局限性。并通过具体示例,展示如何在列表推导式等场景下合理使用海象运算符,同时强调其潜在的复杂性及替代方案,帮助开发者更好地掌…
首先创建含enctype的HTML表单,再用PHP接收文件,检查目录、移动临时文件,验证类型与大小,生成唯一文件名,并调整php.ini限制以确保上传成功。 如果您尝试在PHP项目中添加图片上传功能,但服务器无法正确接收或保存文件,则可能是由于表单配置、文件处理逻辑或安全限制的问题。以下是实现该功能…
比特币是一种去中心化的数字货币,基于区块链技术实现点对点交易,具有匿名性、有限发行和不可篡改等特点;新手可通过交易所购买,P2P交易获得比特币,常用平台包括Binance、OKX和Huobi;交易流程包括注册账户、实名认证、绑定支付方式、充值法币并下单购买,可选择市价单或限价单;比特币存储方式有交易…
SFINAE 是“替换失败不是错误”的原则,指模板实例化时若参数替换导致错误,只要存在其他合法候选,编译器不报错而是继续重载决议。它用于条件启用模板、类型检测等场景,如通过 decltype 或 enable_if 控制函数重载,实现类型特征判断。尽管 C++20 引入 Concepts 简化了部分…
本文旨在解决go语言mgo库中构建复杂查询时,特别是涉及嵌套`bson.m`和日期范围筛选的常见错误。我们将深入剖析`bson.m`的类型特性,解释为何直接索引`interface{}`会导致“invalid operation”错误,并提供一种推荐的、结构清晰的代码重构方案,以确保查询条件能够正确…
在使用rich库的`richhandler`进行日志输出并同时使用`progress`组件时,可能会遇到显示错乱或溢出问题。这通常是由于为`richhandler`和`progress`分别创建了独立的`console`实例导致的。解决方案是确保日志处理器和进度条组件共享同一个`console`实例…
使用go run -race检测数据竞争,结合runtime.NumGoroutine监控协程数量,通过pprof分析阻塞调用栈,利用select超时避免永久阻塞,有效排查goroutine泄漏、死锁和数据竞争问题。 Go语言的goroutine和channel是并发编程的核心,但它们也带来了调试上…
《%ign%ignore_a_1%re_a_1%》官方宣布,将于6月11日开启国服回归技术测试,时间为7天,并称可以在6月内正式开服,玩家们可以访问官网下载战网客户端并预下载“巫妖王之怒”客户端,技术测试详情见下图。 WordAi WordAI是一个AI驱动的内容重写平台 53 查看详情 以上就是《…
Jupyter Notebook通过单元格实现代码与Markdown结合,支持数据导入(pandas)、清洗(fillna)、探索(matplotlib/seaborn可视化)、统计分析(describe/corr)和特征工程,便于记录与分享分析过程。 Jupyter Notebook 是进行探索性…
PHP中可通过define函数和const关键字定义常量,用于存储不可变值。define适用于全局作用域,支持动态名称和条件定义,如define(‘SITE_NAME’, ‘MyWebsite’);const在编译时生效,语法简洁但限制多,只能在类或全…
HTML表单通过标签构建,包含action和method属性定义数据提交目标与方式,常用input类型如text、password、email等适配不同输入需求,配合label、required、placeholder提升可用性,结合textarea、select、button等控件实现完整交互,是…
本文将介绍如何使用Golang创建一个指定大小的文件,并用特定数据填充它。我们将使用 `os` 包提供的函数来创建和截断文件,从而实现快速生成大文件的目的。示例代码展示了如何创建一个10MB的文件,并将其填充为全零数据。掌握这些方法,可以方便地在例如日志系统或磁盘队列等场景中,预先创建测试文件或初始…
使用Python的cProfile模块分析脚本性能最直接的方式是通过命令行执行python -m cProfile your_script.py,它会输出每个函数的调用次数、总耗时、累积耗时等关键指标,帮助定位性能瓶颈;为进一步分析,可将结果保存为文件python -m cProfile -o ou…
使用INSERT INTO…SELECT语句可高效插入数据,通过NOT EXISTS、LEFT JOIN、MERGE语句或唯一约束避免重复;表结构不一致时可通过别名、类型转换、默认值或计算字段处理;结合存储过程可提升可维护性,支持参数化与动态SQL。 将查询结果数据插入到另一个表中,可以…
本文档旨在解决在使用 WebCodecs VideoDecoder 进行视频解码时,实现精确逐帧回退的问题。通过比较帧的时间戳与目标帧的时间戳,可以避免渲染中间帧,从而提高用户体验。本文将提供详细的解决方案和示例代码,帮助开发者实现精确的视频帧控制。 在使用 WebCodecs VideoDecod…
