Проверьте SOAP-запрос, используя сертификат X509

У меня есть SOAP-сервер. Запрос SOAP, получаемый на сервере, имеет заголовки безопасности ws . Ниже приведены основные узлы XML запроса.

  1. BinarySecurityToken (сертификат X509PKIPathv1)
  2. DigestMethod
  3. DigestValue
  4. SignatureValue
  5. SecurityTokenReference
  6. Данные (данные, отправляемые     клиент в теле SOAP)

Я должен подтвердить запрос, используя сертификат (файлы .cer), который предоставляется клиентом (отправителем запроса).

Каковы шаги для проверки запросов? Пожалуйста, объясните концепцию. Для этого нет доступных библиотек. После долгого исследования я могу сопоставить BinarySecurityToken с base64_encode($certFile) $ certFile является сертификатом запрашивающей стороны. Сейчас я изучаю, как сопоставить DigestValue с чем.

7 голосов | спросил Kiren Siva 16 +03002015-10-16T11:14:09+03:00312015bEurope/MoscowFri, 16 Oct 2015 11:14:09 +0300 2015, 11:14:09

1 ответ


0

Заголовки WS-Security можно проверить следующим образом. Я написал утилиту для этого. Посмотри на это.

import java.io.FileInputStream;
import java.io.InputStream;
import java.io.StringReader;
import java.security.KeyStore;
import java.security.Provider;
import java.security.PublicKey;
import java.security.cert.X509Certificate;

import javax.xml.crypto.dsig.XMLSignature;
import javax.xml.crypto.dsig.XMLSignatureFactory;
import javax.xml.crypto.dsig.dom.DOMValidateContext;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;

import org.w3c.dom.Document;
import org.w3c.dom.Element;
import org.w3c.dom.Node;
import org.xml.sax.InputSource;


public class WSUtil {
    public static void main(String[] args) throws Exception {

        String req = "SOAPMESSAGE";
        Document p = createXMLDocument(req);
        InputStream inStream = new FileInputStream("certificate.p12"); //Provide your certificate file

        KeyStore ks = KeyStore.getInstance("PKCS12");
        ks.load(inStream, "pass".toCharArray()); //Certificate password - pass

        String alias = ks.aliases().nextElement();
        X509Certificate certificate = (X509Certificate) ks.getCertificate(alias);

        validateSignature(p.getElementsByTagName("ds:Signature").item(0),p.getElementsByTagName("soapenv:Body").item(0),certificate.getPublicKey());//True if the message is valid
    }

    public static Document createXMLDocument(String xmlString) throws Exception {
        DocumentBuilderFactory factory = DocumentBuilderFactory.newInstance();
        factory.setNamespaceAware(true);
        DocumentBuilder builder;
        Document document = null;
        try {
            builder = factory.newDocumentBuilder();
            document = builder.parse(new InputSource(
                    new StringReader(xmlString)));
        } catch (Exception e) {
            throw e;
        }
        return document;
    }

    private static boolean validateSignature(Node signatureNode, Node bodyTag, PublicKey publicKey) {
        boolean signatureIsValid = false;
        try {
            // Create a DOM XMLSignatureFactory that will be used to unmarshal the
            // document containing the XMLSignature
            String providerName = System.getProperty
                    ("jsr105Provider", "org.jcp.xml.dsig.internal.dom.XMLDSigRI");
            XMLSignatureFactory fac = XMLSignatureFactory.getInstance("DOM",
                    (Provider) Class.forName(providerName).newInstance());

            // Create a DOMValidateContext and specify a KeyValue KeySelector
            // and document context
            DOMValidateContext valContext = new DOMValidateContext(new X509KeySelector(publicKey), signatureNode);
            valContext.setIdAttributeNS((Element) bodyTag, "http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd", "Id");

            // Unmarshal the XMLSignature.
            XMLSignature signature = fac.unmarshalXMLSignature(valContext);
            // Validate the XMLSignature.
            signatureIsValid = signature.validate(valContext); 

        } catch (Exception ex) {
            ex.printStackTrace();
        }

        return signatureIsValid;
    }
}

Примечание Вы должны предоставить сообщение SOAP как есть. Вы не должны делать какой-либо формат XML или любое пустое место где-либо. Сообщение SOAP с добавленной безопасностью очень чувствительно. Даже пробел в конце сделает сообщение SOAP недействительным.

ответил Pasupathi Rajamanickam 27 +03002015-10-27T09:57:42+03:00312015bEurope/MoscowTue, 27 Oct 2015 09:57:42 +0300 2015, 09:57:42

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132