在工作中,我们有一个Web应用程序,我们需要使用SAML验证的Single Sign On与其他公司的Web应用程序进行交互。我们的网络应用程序是用PHP编写的,显然与其他公司使用的语言选择无关。尽管如此,我还需要编写一个简单的API,这个其他公司可以使用SAML请求发送SOAP请求,并生成SAML响应。我从头开始编写它有三个原因:1)用PHP编写的SAML交互似乎没有很多选项,即使我想要一个,2)它限制了添加另一个第三个所涉及的开销-party组件,以及3)从头开始创建东西通常会让我有更好的理解,并且如果需要的话,使我能够更好地适应未来的事情。
无论如何,我对SAML,SOAP和XML标准一般都是新手,所以我一直在教我自己。我已经为我们的目的提供了相当完整的API,但有一个例外,即另一家公司已经指定我们的响应将需要使用证书进行数字签名(我们收到的请求将同样进行数字签名)。所以我一直在试图弄清楚如何处理/生成XML签名,但老实说,由于W3C规范并不是完全轻松阅读,所以有点令人困惑。
Assertions and Protocol for the OASIS Security Markup Language (SAML) V1.1文件的第5.4.8节(我已经关闭的文件,正如另一家公司所说的那样,他们将使用v1.1)包含一个包含签名声明的签名响应示例,我将要包括在这里参考:
<Response IssueInstant="2003-04-17T00:46:02Z" MajorVersion="1" MinorVersion="1"
Recipient="www.opensaml.org" ResponseID="_c7055387-af61-4fce-8b98-e2927324b306"
xmlns="urn:oasis:names:tc:SAML:1.0:protocol"
xmlns:samlp="urn:oasis:names:tc:SAML:1.0:protocol"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#_c7055387-af61-4fce-8b98-e2927324b306">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
<InclusiveNamespaces PrefixList="#default saml samlp ds xsd xsi"
xmlns="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transform>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>TCDVSuG6grhyHbzhQFWFzGrxIPE=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>x/GyPbzmFEe85pGD3c1aXG4Vspb9V9jGCjwcRCKrtwPS6vdVNCcY5rHaFPYWkf+5EIYcPzx+pX1h43SmwviCqXRjRtMANWbHLhWAptaK1ywS7gFgsD01qjyen3CP+m3Dw6vKhaq1ed10BYyrIzb4KkHO4ahNyBVXbJwqv5pUaE4=</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>MIICyjCCAjOgAwIBAgICAnUwDQYJKoZIhvcNAQEEBQAwgakxCzAJBgNVBAYTA1VT ... 8I3bsbmRAUg4UP9hH6ABVq4KQKMknxu1xQxLhpR1y1GPdiowMNTrEG8cCx3w/w==</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
<Status><StatusCode Value="samlp:Success"/></Status>
<Assertion AssertionID="_a75adf55-01d7-40cc-929f-dbd8372ebdfc"
IssueInstant="2003-04-17T00:46:02Z" Issuer="www.opensaml.org"
MajorVersion="1" MinorVersion="1" xmlns="urn:oasis:names:tc:SAML:1.0:assertion"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<Conditions NotBefore="2003-04-17T00:46:02Z" NotOnOrAfter="2003-04-17T00:51:02Z">
<AudienceRestrictionCondition>
<Audience>http://www.opensaml.org</Audience>
</AudienceRestrictionCondition>
</Conditions>
<AuthenticationStatement AuthenticationInstant="2003-04-17T00:46:00Z"
AuthenticationMethod="urn:oasis:names:tc:SAML:1.0:am:password">
<Subject>
<NameIdentifier Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress">[email protected]</NameIdentifier>
<SubjectConfirmation>
<ConfirmationMethod>urn:oasis:names:tc:SAML:1.0:cm:bearer</ConfirmationMethod>
</SubjectConfirmation>
</Subject>
<SubjectLocality IPAddress="127.0.0.1"/>
</AuthenticationStatement>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#_a75adf55-01d7-40cc-929f-dbd8372ebdfc">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#">
<InclusiveNamespaces PrefixList="#default saml samlp ds xsd xsi"
xmlns="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transform>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>Kclet6XcaOgOWXM4gty6/UNdviI=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>hq4zk+ZknjggCQgZm7ea8fI79gJEsRy3E8LHDpYXWQIgZpkJN9CMLG8ENR4Nrw+n7iyzixBvKXX8P53BTCT4VghPBWhFTSt9tHWu/AtJfOTh6qaAsNdeCyG86jmtp3TDMWuL/cBUj2OtBZOQMFn7jQ9YB7k1Iz3RqVL+wNmeWI4=</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>MIICyjCCAjOgAwIBAgICAnUwDQYJKoZIhvcNAQEEBQAwgakxCzAJBgNVBAYTA1VT ... 8I3bsbmRAUg4UP9hH6ABVq4KQKMknxu1xQxLhpR1y1GPdiowMNTrEG8cCx3w/w==</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</ds:Signature>
</Assertion>
</Response>
那么我该如何生成这样的东西呢?如果我收到这样的东西,我该如何验证呢?此外,任何人都可以提供<ds:Signature>标签在这里的基本概念概述吗?似乎有两个<ds:Signature>标签,一个在主要<Response>和一个在<Assertion>,每个包含他们自己的<ds:DigestValue>,<ds:SignatureValue>和<ds:X509Certificate>(和每个不同)。这些是如何产生的?任何你可以在这上面的光都将非常感激。教程或代码示例将更加受到重视!但在这一点上,如果你能让我走上正轨,那就是我真正想要的。现在它对我来说似乎仍然是一个大黑盒子。
顺便说一句,如果这有帮助,它在SAML 1.1规范的其他地方说SAML实现应该只使用“Exclusive Canonicalization”方法(Excl-C14N)并且应该仅使用“包络变换”。我还不完全确定这意味着什么。
如果您非常熟悉XML,处理XML签名并不是很困难,但是有很多细节必须绝对正确或者事情不起作用,所以我可能不会尝试在此编写自己的实现情况(我确实部分实施了一次,但那是出于不同的特殊目的,无论如何它并不是一个完整的实现)。
无论如何,我对SAML知之甚少,但我确实知道XML和XML签名,所以也许我可以通过尝试回答你的问题来帮助你。
Signature元素是指在SignedInfo子元素中已经过数字签名的XML文档的特定部分。 Reference子元素(我认为可以有许多Reference元素在形成要签名的字节时连接起来但我不记得肯定了)通过URI属性指向内容。 Transform元素描述在对其进行散列之前对所引用内容执行的转换;您需要查看规范以确定如何定义转换算法。 DigestMethod元素使哈希算法应用于作为这些变换算法结果的字节(请注意,其中一个始终是将XML转换为字节的规范化),而DigestValue给出了该摘要算法的结果。
实际签名位于SignatureValue元素中,并通过应用CanonicalizationMethod元素的规范化生成字节然后使用SignatureMethod对这些字节进行签名来生成。 KeyInfo元素告诉您如何找到要使用的密钥。
Canonicalization,上面出现过几次,只是将XML文档转换为字节的一种方式,以便“等效”的XML文档产生相同的字节序列。这在数字签名中是必需的,因为算法在字节上工作,XML可以通过许多中介,这些中介可能会破坏原始字节,但会保留等价。不同情况下需要不同的规范化方法:如果元素是从文档中提取并放入其他元素中,则需要排除不需要的命名空间定义的独占规范化,但在其他情况下可能无法正常工作,因此需要包含规范化,保留所有范围内的命名空间。
这只是基础知识。如何生成XML签名有许多不同的选项,如果要实现工作验证程序,则需要考虑所有这些选项。由于您不熟悉XML,我只想重复一下使用已存在的东西的建议。实现规范是一种有趣的学习体验,但如果实现已经可用,通常会浪费时间。
关于签名,有W3C的documentation。
在SimpleSAML的xmlseclibs.php中有一个例子。它依赖于openssl模块来进行加密。
我会诚实地使用lib或桥接到java / tomcat,只是因为可能会出现可能需要调试的互操作问题,