XML の一部のみに署名することで XML 署名を実行しようとしていますが、多くの検索を行った後、解決策を見つけることができませんでした。
Xpath2変換とEXCLUSIVE正規化を使用してXMLに署名するためにJavaを使用しています。次の XML がある場合
<?xml version="1.0" encoding="UTF-8"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
<id>wsfrwerwerwer</id>
<name>addr</name>
<somenode>
<trace>ND</trace>
</somenode>
</header>
<payload><ns0:addr xmlns:ns0="http://someaddres/ad/m3"><ns2:data xmlns:ns2="http://someaddres/ad/m3">
<ns2:name>somevalue</ns2:name>
<ns2:value>354</ns2:value>
</ns2:data>
</ns0:addr>
</payload>
</msg>
署名すると、次の出力が得られます (実際のデータはダミーに置き換えられます)
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<msg xmlns="http://someaddress/ad/m1" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://www.w3.org/2000/09/xmldsig#">
<header>
<id>wsfrwerwerwer</id>
<name>addr</name>
<somenode>
<trace>ND</trace>
</somenode>
</header>
<payload>
<ns0:addr xmlns:ns0="http://someaddres/ad/m3">
<ns2:data xmlns:ns2="http://someaddres/ad/m3">
<ns2:name>somevalue</ns2:name>
<ns2:value>354</ns2:value>
</ns2:data>
</ns0:addr>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"/>
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2002/06/xmldsig-filter2">
<XPath xmlns="http://www.w3.org/2002/06/xmldsig-filter2" xmlns:ns0="http://someaddres/ad/m3" Filter="intersect">//*[local-name()='addr']/*</XPath>
</Transform>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"/>
<DigestValue>sdlfjdeklsdfngf</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>femhjgklnlkl</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>swerwerwrwerwerwe</X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
</payload>
</msg>
署名を検証すると、すべて問題ありませんが、この直後に XML で XSLT を実行し、一部の要素に変更を加えますが、署名された要素 ( ns0:addr) は変更されません。「addr」要素のみが署名されるべきだと明示的に言っていますが、その親 ( payload、msgまたはaddr) のいずれかに変更を加えようとすると、(私の理解によれば) すべきではないときに署名に失敗します。ヘッダー内のものなど、他の要素に変更を加えても、署名は引き続き有効です。
XPath 式 ( //*[local-name()='addr']/*) をテストしたところ、署名する正しいデータが選択されました ( ns2:data) が、ルート要素 ( msg、addr) から始まるすべての要素も取得しているようです。
UNION などのさまざまな変換も使用しようとしましたが、まったく機能しません。
問題が何であるかを知っている人はいますか?Javaで、デバッグ目的でXMLに署名するときに署名されているものを正確に確認する方法はありますか?
編集:
後で実行される xslt は、名前空間を ns0:addr 要素からルート要素 (msg) に移動するなどのことを行います。また、メイン要素の名前と名前空間を msg から newmsg (および別のデフォルトの名前空間) に変更しますが、署名済みデータ ( ns2:data) はそのままです。
署名に使用されるコードは、多かれ少なかれここで言及されているコードですhttp://docs.oracle.com/javase/7/docs/technotes/guides/security/xmldsig/XMLDigitalSignature.html
ENVELOPED 変換の代わりに、XPATH2 変換を使用しています。
Map<String, String> namespaceMap = new HashMap<String, String>(0);
namespaceMap.put("ns0", "http://someaddres/ad/m3");
XPathType xPathType = new XPathType(xPathParameters, Filter.INTERSECT, namespaceMap);
List<XPathType> xPathList = new ArrayList<XPathType>(0);
xPathList.add(xPathType)
XPathFilter2ParameterSpec xPathFilter2ParameterSpec = new XPathFilter2ParameterSpec(xPathList);
transform = fac.newTransform(CanonicalizationMethod.XPATH2, xPathFilter2ParameterSpec);
また、ENVELOPED の代わりに EXCLUSIVE を使用しています
canonicalisationMethod = fac.newCanonicalizationMethod(CanonicalizationMethod.EXCLUSIVE, (C14NMethodParameterSpec) null);
EDIT2:
XML署名プロセスのより細かいデバッグを有効にすることができ、次のようになりました。
FINER: Pre-digested input:
21-Sep-2012 10:51:39 org.jcp.xml.dsig.internal.DigesterOutputStream write
FINER: <ns2:data xmlns="http://someaddress/ad/m1" xmlns:ns0="http://someaddres/ad/m3" xmlns:ns1="http://someotheraddres/ad/m2" xmlns:ns2="http://someaddres/ad/m3"> <ns2:name>somevalue</ns2:name> <ns2:value>354</ns2:value> </ns2:data>
正しいデータに署名しているように見えますが、名前空間が親要素から取得されているため、名前空間が問題であるかどうか疑問に思うように、署名にいくつかの追加の名前空間も追加されています。
余分な名前空間がすべて追加されないようにする方法を知っている人はいますか?