使用xml中的公钥进行javax.xml.crypto.dsig验证

使用 javax.xml.crypto.dsig,如何在不指定公钥的情况下解组和验证 XMLSignature？公钥似乎是在签名的xml中,但我无法找到一种方法来获取它.

DOMValidateContext valContext = new DOMValidateContext(key,signatureNode);
XMLSignature signature = fac.unmarshalXMLSignature(valContext);
boolean coreValidity = signature.validate(valContext);

据我所知,有必要将KeySelector而不是Key传递给DOMValidateContext.但是,我无法弄清楚如何实现KeySelector.

这是我发现的关于如何实现KeySelector的唯一示例：
http://download.oracle.com/javase/6/docs/technotes/guides/security/xmldsig/XMLDigitalSignature.html

不幸的是它不起作用.在该实现中,它执行以下操作但总是失败,因为没有keyvalue元素(看起来它们是org.jcp.xml.dsig.internal.dom.DOMX509Data元素而不是keyvalue元素,它们无法通过他们的关键).

List list = keyInfo.getContent();

for (int i = 0; i < list.size(); i++) {
    XMLStructure xs = (XMLStructure) list.get(i);
    if(xs instanceof keyvalue) {
        PublicKey pk = null;
        try {
            pk = ((keyvalue) xs).getPublicKey();
        } catch (KeyException ke) {
            throw new KeySelectorException(ke);
        }
        // make sure algorithm is compatible with method
        if (algEquals(sm.getAlgorithm(),pk.getAlgorithm())) {
            return new SimpleKeySelectorResult(pk);
        }
    }
}
throw new KeySelectorException("No keyvalue element found!");

那么,有没有办法做到这一点？我希望能够验证xml文件的签名,而无需使用公钥.我只想从xml获取公钥.

解决方法

扩展你检查的if()条件,看看xs是否是keyvalue的一个实例,也检查X509Data的实例,如下所示：

else if (xs instanceof X509Data) {
     for (Object data : ((X509Data) xs).getContent()) {
          if (data instanceof X509Certificate) {
              pk = ((X509Certificate) data).getPublicKey();
          }
     }
}

使用xml中的公钥进行javax.xml.crypto.dsig验证

解决方法

相关推荐