Csharp/C#教程:validationSAML断言上的签名分享


validationSAML断言上的签名

我有两个签名,一个在响应(validation),一个在嵌套的SAML断言(没有)。 这是我正在使用的精简代码:

foreach (XmlElement node in xmlDoc.SelectNodes("//*[local-name()='Signature']")) {// Verify this Signature block SignedXml signedXml = new SignedXml(node.ParentNode as XmlElement); signedXml.LoadXml(node); KeyInfoX509Data x509Data = signedXml.Signature.KeyInfo.OfType().First(); // Verify certificate X509Certificate2 cert = x509Data.Certificates[0] as X509Certificate2; log.Info(string.Format("Cert s/n: {0}", cert.SerialNumber)); VerifyX509Chain(cert);// Custom method // Check for approval X509Store store = new X509Store(StoreName.TrustedPublisher, StoreLocation.LocalMachine); store.Open(OpenFlags.ReadOnly); X509Certificate2Collection collection = store.Certificates.Find(X509FindType.FindBySerialNumber, cert.SerialNumber, true); Debug.Assert(collection.Count == 1);// Standing in for brevity // Verify signature signedXml.CheckSignature(cert, true); } 

为了完整起见,这里是XML的概述:

  ...  ...  ...  ...  ...  ...   

我也尝试过只签署的断言,但也失败了。 我究竟做错了什么? 为什么CheckSignature总是在SAML断言上失败?

编辑结果只有断言的断言是由Java生成的(OpenSAML)并且有更多的环节可以跳过。 请指教。

此代码使用Ultimate saml( https://www.componentpro.com/saml.net/ )validationSAML响应。 它有助于validation响应中的嵌套SAML断言签名。

 XmlDocument xmlDocument = new XmlDocument(); xmlDocument.Load(samlResponseXmlToVerify); XmlDocument xmlDocumentMetadata = new XmlDocument(); xmlDocumentMetadata.Load(samlMetadataXmlToExtractCertData); // Load the SAML response from the XML document. Response samlResponse = new Response(xmlDocument.DocumentElement); // Is it signed? if (samlResponse.IsSigned()) { // Validate the SAML response with the certificate. if (!samlResponse.Validate(xmlDocumentMetadata.DocumentElement)) { throw new ApplicationException("SAML response signature is not valid."); } } 

有关更多详细信息,请参阅此在线示例代码: http : //www.componentpro.com/doc/saml/ComponentPro.Saml.SignableSamlObject.Validate().htm

我发现这个答案引用了另一个答案 (由同一个人 )并总结如下: .net实现是古怪的,Signature块必须是DocumentElement的子代。 发现这篇文章也以更好的方式解决了这个问题。

修改代码

 foreach (XmlElement node in xmlDoc.SelectNodes("//*[local-name()='Signature']")) {// Verify this Signature block // *** BEGIN: ADDED CODE *** XmlDocument doc = new XmlDocument(); doc.LoadXml(node.ParentNode.OuterXml); XmlElement signature = doc.SelectSingleNode("//*[local-name()='Signature']") as XmlElement; // This variable ^^^ is the same as node, just in doc instead of xmlDoc (important distinction) // *** END: ADDED CODE *** // Setup SignedXml signedXml = new SignedXml(node.ParentNode as XmlElement); signedXml.LoadXml(node); KeyInfoX509Data x509Data = signedXml.Signature.KeyInfo.OfType().First(); // Verify certificate ... 

不幸的是,这仍然不能解释Java生成的SAML。 需要更复杂,更少记录的东西来解释这一点。 我收到了一个新的Java生成的SAML令牌,它与给定的代码一起使用。 我使用的那个一定是有缺陷的。

我不确定为什么,但看起来SignedXml只能validation根文档元素中的签名。 我发现从现有XmlElement片段创建新XmlDocument的最快方法是使用ImportNode方法。

您更新的validation代码如下所示:

 foreach (XmlElement item in xmlDoc.SelectNodes("//*[local-name()='Signature']")) { var node = item; if (node.ParentNode != xmlDoc.DocumentElement) { var doc = new XmlDocument(); var parentNode = doc.ImportNode(item.ParentNode, true); doc.AppendChild(parentNode); node = (XmlElement) parentNode.SelectSingleNode("*[local-name()='Signature']"); } var signedXml = new SignedXml((XmlElement) node.ParentNode); signedXml.LoadXml(node); //TODO: validate } 

这大约是重新解析OuterXml速度的两倍,正如其他人基于我使用8kB SAML响应文档的测试所建议的那样。

上述就是C#学习教程:validationSAML断言上的签名分享的全部内容,如果对大家有所用处且需要了解更多关于C#学习教程,希望大家多多关注—计算机技术网(www.ctvol.com)!

www.ctvol.com true https://www.ctvol.com/cdevelopment/953187.html Article Csharp/C#教程:validationSAML断言上的签名分享

本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。

ctvol管理联系方式QQ:251552304

本文章地址:https://www.ctvol.com/cdevelopment/953187.html

(0)
上一篇 2021年11月19日
下一篇 2021年11月19日

精彩推荐