Validation de la signature numérique XML
-
05-07-2019 - |
Question
J'essayais de valider une signature XML.
La validation selon cette tutoriel fonctionne bien.
Mais j'ai aussi essayé une seconde approche. Pour le vérifier avec le
La solution Vous ne pouvez pas vérifier XMLDsig comme ceci. Ça ne marcherait pas. La signature n'est pas calculée sur le XML brut. Il doit passer par la canonisation, la synthèse, etc. Qu'utilisez-vous pour data []
? Pour réussir, vous devez presque réécrire la bibliothèque XMLDsig.
Autres conseils
Si data [] est le contenu du fichier XML signé, qu'est-ce que sigToVerify?
XMLSig crée un élément de signature (SignedInfo) contenant le résumé de chaque élément à signer et des méta-informations, comme les algorithmes de canonisation / transformation utilisés. Ensuite, le résumé de cette SignedInfo-Elemnt est calculé et signé.
Par conséquent, si sigToVerify est la signature créée par une implémentation XMLSignature, il ne doit pas être égal à la signature du fichier XML complet.
Ici est un explication plus complète. Et si cela vous intéresse, consultez la spécification .