我們對XML-sig問題有疑問,需要關於可選元素以及一些規範化和變換內容的詳細信息。我們正在編寫一個規格非常小的XML語法有效載荷,它將進入媒體文件的元數據,並且需要以加密方式進行簽名。我們認爲我們應該使用XML-sig規範,而不是重新發明輪子,但我認爲大部分內容對於我們所需要的是過度的,所以我們希望與瞭解詳細信息的人們進行更多的信息/對話。關於XML-sig的權威來源
具體而言,如果XML非常基本,沒有格式化選項卡並且特定於我們的需要,我們是否需要關心轉換或規範化?
如果選項,存在不做一個XML簽名,而不是僅僅治療XML作爲字節流,並簽署,做到這一點。這將更容易實施,更容易理解,更穩定(無規範化,變換,政策......),速度更快。
如果您絕對必須擁有XML DSIG(可悲的是,我們中的一些人必須),但這些日子當然是有可能的,但有很多很多警告。您需要良好的庫支持,而Java在JDK 1.6中是開箱即用的,我對其他平臺並不熟悉。您必須測試與簽名XML的接收端的互操作性,特別是如果它們可能位於不同的平臺上。
請務必閱讀Why XML Security Is Broken,它基本涵蓋了關於XML Canonicalization的恐怖的所有理由,並給出了一些替代方法的一些指示。
你能告訴我們你正在使用的技術嗎?因爲在這個東西和一些快捷方式中存在一些有趣的東西......即WSE2是複雜的野獸和我不喜歡錯誤的東西!
我不喜歡開發人員這樣做,並且有像SSL那樣的WSE2加速器,因爲加密處理的代價最好是將其從正常代碼和開發領域中取出。
如果這是一個選擇 - Try look at this - ForumSystems
如果您需要在代碼中籤名XML,請選擇XMLBlackbox,它爲您提供規範化和所有其他轉換。 XMLBlackbox也支持XAdES。