我有一个
XML文档.我正在使用xmlsignature签署文档的一部分.在找到摘要之前,我想应用XSLT转换.根据我读到的,XSLT将XML文档转换为另一种格式(也可以是XML).现在我很困惑,转换的新文档在哪里可以使用?如果我想显示给用户,如何从这个新创建的文档中检索值?
我的XML文档
我的XML文档
<r1> <user>asd</user> <person>ghi</person> </r1>
转型代码
Transform t=fac.newTransform(Transform.XPATH,new XPathFilterParameterSpec("/r1/user"));
根据xpath转换,每当用户元素的值更改时,xmlsignature不应该被验证.如果person元素的值发生变化,那么Signature应该被验证.但是当我更改person元素的值时,签名不会被验证.为什么?
解决方法
签署文档时使用的xslt变换与计算签名时如何选择源XML中的节点有关.
This question/answer由Dave涉及使用xpath2签署XML文档的部分.该答案中的link to Sean Mullans’ post表明,xpath2更适合于签署文档的一部分,因为xpath表达式的评估是针对每个节点完成的.
因此,基于sun dsig example,您可以使用以下命令替换参考创建:
List<XPathType> xpaths = new ArrayList<XPathType>();
xpaths.add(new XPathType("//r1/user",XPathType.Filter.INTERSECT));
Reference ref = fac.newReference
("",fac.newDigestMethod(DigestMethod.SHA1,null),Collections.singletonList
(fac.newTransform(Transform.XPATH2,new XPathFilter2ParameterSpec(xpaths))),null,null);
这允许// r1 / user被保护,同时可以修改文档的其余部分.
xpath / xpath2选择的问题是可以为/ some / node /生成一个/是/不/不存在的签名.您是修改测试文档的对象,并确保签名的工作方式符合您的期望.
您可以通过在验证之前生成一个签名然后篡改xml节点来测试测试程序中的文档:
NodeList nlt = doc.getElementsByTagName("user");
nlt.item(0).getFirstChild().setTextContent("Something else");
xpath选择器的一个更可靠的替代方法可能是将您希望签署的xml文档元素的ID放在一起:
<r1> <user id="sign1">asd</user> <person>ghi</person> </r1>
然后将此ID作为包络传输的第一个参数中的URI引用:
Reference ref = fac.newReference
("#sign1",Collections.singletonList
(fac.newTransform(Transform.ENVELOPED,(TransformParameterSpec) null)),null);
对于输出,签名操作将向您在内存中加载的DOM添加一个新的Signature元素.您可以通过以下转换来输出输出:
TransformerFactory tf = TransformerFactory.newInstance(); Transformer trans = tf.newTransformer(); trans.setoutputProperty(OutputKeys.INDENT,"yes"); trans.transform(new DOMSource(doc),new StreamResult(System.out));
