签名的目的是为了防止信息在传输过程中被纂改, 这样可以防止用户死不认账的情况发生。 签名和验签的过程如下:
一· ([b]双向签名[/b])客户端签完名之后发送文档给服务器端, 服务器端验证客户端的签名后, 处理文档后再用自己的证书对返回信息签名, 发送给客户端。客户端验证服务器端的签名, 然后处理返回结果。
[img]http://dl.iteye.com/upload/attachment/265629/786f3025-f23e-3f46-bafa-cf49cf658cd0.png[/img]
二·([b]单向签名[/b])客户端签完名之后发送文档给服务器端,服务器端验证客户端的签名,处理文档, 并返回结果给客户端。
[img]http://dl.iteye.com/upload/attachment/265631/c4c8623b-937a-3de9-9251-77fde1181aa0.jpg[/img]
下面我们看个webservice单向签名实现:
我用axis1.4实现了一个webservice服务。假定webservice的客户端也是axis1.X 生成的客户端。
[b]第一大步:准备wss4j的jar包[/b]
下载wss4j相关的jar包到web的lib目录, 如果你用的是maven, 在dependencies 里面加上:
[b]第二大步:客户端签名[/b]
创建客户端签名布署文件, client_deploy.wsdd, 这个文件里面的内容如下:
<requestFlow> 表示由哪些handler来handle这个请求,
<handler type="java:org.apache.ws.axis.security.WSDoAllSender">表示由 java:org.apache.ws.axis.security.WSDoAllSender来发送请求
这个handler的参数有如下:
<parameter name="action" value="Signature" />
action表示要做什么, value=”Signature” 表示要签名
<parameter name="user" value="clienthost" />
<parameter name="signatureUser" value="client.lianlian.com" />
signatureUser表示证书别名, 如果没有指定signatureUser, 则用User作为证书别名
<parameter name="passwordCallbackClass"
value="com.lianlian.center.core.ClientPWCallback" />
这个类用来获取证书密码
<parameter name="signaturePropFile" value="crypto.properties" />
验名配置文件, 配置文件的具体内容如下:
<parameter name="signatureKeyIdentifier" value="IssuerSerial" />
这个参数表示证书发送形式, 有这么多种
<parameter name="encryptionKeyIdentifier" value="DirectReference" />
<parameter name="encryptionKeyIdentifier" value="EmbeddedKeyName" />
<parameter name="encryptionKeyIdentifier" value="SKIKeyIdentifier" />
<parameter name="encryptionKeyIdentifier" value="IssuerSerial" />
<parameter name="encryptionKeyIdentifier" value="X509KeyIdentifier" />
<parameter name="encryptionKeyIdentifier" value="Thumbprint" />
X509KeyIdentifier和DirectReference是将完整证书发过去, IssuerSerial只是发个主题过去。EmbeddedKeyName我估计只是将证书名称发过去。
在使用webservice客户端代码之前, 先设置参数如下:
你所发送的文档中就已经有签名信息啦。
第三大步:服务器端验签
将下一面的一大段放到server-conf.wsdd
<requestFlow> 表示由哪些handler来handle这个请求,
<handler type="java:org.apache.ws.axis.security. WSDoAllReceiver ">表示由 java:org.apache.ws.axis.security.WSDoAllSender来处理接收请求
<parameter name="action" value="Signature" />
action表示要做什么, value=”Signature” 表示要验证签名
<parameter name="signaturePropFile" value="sign.properties" />
验签配置文件, 配置文件的具体内容如下:
第四大步:
验证成果, 发送一笔报文如下:
接收到的返回结果是
接着再将报文作点小改动, 但不改动签名
把
看看返回结果
服务器返回的是签名信息不对。
一· ([b]双向签名[/b])客户端签完名之后发送文档给服务器端, 服务器端验证客户端的签名后, 处理文档后再用自己的证书对返回信息签名, 发送给客户端。客户端验证服务器端的签名, 然后处理返回结果。
[img]http://dl.iteye.com/upload/attachment/265629/786f3025-f23e-3f46-bafa-cf49cf658cd0.png[/img]
二·([b]单向签名[/b])客户端签完名之后发送文档给服务器端,服务器端验证客户端的签名,处理文档, 并返回结果给客户端。
[img]http://dl.iteye.com/upload/attachment/265631/c4c8623b-937a-3de9-9251-77fde1181aa0.jpg[/img]
下面我们看个webservice单向签名实现:
我用axis1.4实现了一个webservice服务。假定webservice的客户端也是axis1.X 生成的客户端。
[b]第一大步:准备wss4j的jar包[/b]
下载wss4j相关的jar包到web的lib目录, 如果你用的是maven, 在dependencies 里面加上:
<dependency>
<groupId>org.apache.ws.security</groupId>
<artifactId>wss4j</artifactId>
<version>1.5.8</version>
</dependency>
[b]第二大步:客户端签名[/b]
创建客户端签名布署文件, client_deploy.wsdd, 这个文件里面的内容如下:
<deployment xmlns="http://xml.apache.org/axis/wsdd/"
xmlns:java="http://xml.apache.org/axis/wsdd/providers/java">
<transport name="http"
pivot="java:org.apache.axis.transport.http.HTTPSender" />
<globalConfiguration>
<requestFlow>
<handler type="java:org.apache.ws.axis.security.WSDoAllSender">
<parameter name="action" value="Signature" />
<parameter name="user" value="clienthost" />
<parameter name="signatureUser" value="client.lianlian.com" />
<parameter name="passwordCallbackClass"
value="com.lianlian.center.core.ClientPWCallback" />
<parameter name="signaturePropFile" value="crypto.properties" />
<parameter name="signatureKeyIdentifier" value="IssuerSerial" />
</handler>
</requestFlow>
</globalConfiguration>
</deployment>
<requestFlow> 表示由哪些handler来handle这个请求,
<handler type="java:org.apache.ws.axis.security.WSDoAllSender">表示由 java:org.apache.ws.axis.security.WSDoAllSender来发送请求
这个handler的参数有如下:
<parameter name="action" value="Signature" />
action表示要做什么, value=”Signature” 表示要签名
<parameter name="user" value="clienthost" />
<parameter name="signatureUser" value="client.lianlian.com" />
signatureUser表示证书别名, 如果没有指定signatureUser, 则用User作为证书别名
<parameter name="passwordCallbackClass"
value="com.lianlian.center.core.ClientPWCallback" />
这个类用来获取证书密码
<parameter name="signaturePropFile" value="crypto.properties" />
验名配置文件, 配置文件的具体内容如下:
## 证书库文件
org.apache.ws.security.crypto.merlin.file=client.p12
##证书库密码
org.apache.ws.security.crypto.merlin.keystore.password=changeit
##Provider, 可以有好几种, 这只是其中一种
org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin
##证书库类型, 如JKS, PKCS12
org.apache.ws.security.crypto.merlin.keystore.type=PKCS12
<parameter name="signatureKeyIdentifier" value="IssuerSerial" />
这个参数表示证书发送形式, 有这么多种
<parameter name="encryptionKeyIdentifier" value="DirectReference" />
<parameter name="encryptionKeyIdentifier" value="EmbeddedKeyName" />
<parameter name="encryptionKeyIdentifier" value="SKIKeyIdentifier" />
<parameter name="encryptionKeyIdentifier" value="IssuerSerial" />
<parameter name="encryptionKeyIdentifier" value="X509KeyIdentifier" />
<parameter name="encryptionKeyIdentifier" value="Thumbprint" />
X509KeyIdentifier和DirectReference是将完整证书发过去, IssuerSerial只是发个主题过去。EmbeddedKeyName我估计只是将证书名称发过去。
在使用webservice客户端代码之前, 先设置参数如下:
System.setProperty("axis.ClientConfigFile", "client_deploy.wsdd");
你所发送的文档中就已经有签名信息啦。
第三大步:服务器端验签
将下一面的一大段放到server-conf.wsdd
<requestFlow>
<handler type="java:org.apache.ws.axis.security.WSDoAllReceiver" >
<parameter name="action" value="Signature"/>
<parameter name="signaturePropFile" value="sign.properties" />
</handler>
</requestFlow>
<requestFlow> 表示由哪些handler来handle这个请求,
<handler type="java:org.apache.ws.axis.security. WSDoAllReceiver ">表示由 java:org.apache.ws.axis.security.WSDoAllSender来处理接收请求
<parameter name="action" value="Signature" />
action表示要做什么, value=”Signature” 表示要验证签名
<parameter name="signaturePropFile" value="sign.properties" />
验签配置文件, 配置文件的具体内容如下:
## 证书库文件, 在webservice的实现中, 要让验签过程成功, 则server.p12中必须包含有客户端证书, server.p12中只包含一张根证书似乎是不行的。
org.apache.ws.security.crypto.merlin.file=server.p12
##证书库密码
org.apache.ws.security.crypto.merlin.keystore.password=changeit
##Provider, 可以有好几种, 这只是其中一种
org.apache.ws.security.crypto.provider=org.apache.ws.security.components.crypto.Merlin
##证书库类型, 如JKS, PKCS12
org.apache.ws.security.crypto.merlin.keystore.type=pkcs12
第四大步:
验证成果, 发送一笔报文如下:
<?xml version="1.0" encoding="UTF-8" ?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<soapenv:Header>
<wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" soapenv:mustUnderstand="1">
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#" Id="Signature-1">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<ds:Reference URI="#id-2">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#" />
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<ds:DigestValue>CdRj5Tv1GV4DW7WFjfZs/cihw3w=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>1z7nYiljv82QyGPb3JaO3gGUzZqrHWXOuqnP2MFuFykcKXv1qU2xeH9TJHK+8wkjV1J6tzEjT1Xg 0YnJ/al4KH/VtNY6I492zxusnEQiLy1wAcRLBek11Wwx5xfevTbZwWo0hwefCyNjWb9VN9TOZx2y rODEOoctpMxXBY/PEvFt11WKpTN8qi92LEEB/FpUXCJNz4T4sZLO1xExnR31sg7vUfEnQrTOKUy2 2xKuAwMqaCXzqhkYzgJ4GhmGDngW6ArKD1XUMvZhsGr5n0XMCJdKV72c5eQdV/enrAeQ41Uln0Xf aC3m39glgGCj1s+yEQoKPHPg5aaPXRVdaT8rWA==</ds:SignatureValue>
<ds:KeyInfo Id="KeyId-BCE125FAAC0B49234D12768317001252">
<wsse:SecurityTokenReference xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="STRId-BCE125FAAC0B49234D12768317001253">
<ds:X509Data>
<ds:X509IssuerSerial>
<ds:X509IssuerName>EMAILADDRESS=zhouzz@lianlian.com,CN=zhizhang,OU=CPT,O=lianlian,L=hangzhou,ST=zhejiang,C=cn</ds:X509IssuerName>
<ds:X509SerialNumber>17888630376294461835</ds:X509SerialNumber>
</ds:X509IssuerSerial>
</ds:X509Data>
</wsse:SecurityTokenReference>
</ds:KeyInfo>
</ds:Signature>
</wsse:Security>
</soapenv:Header>
<soapenv:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="id-2">
<login xmlns="http://center.lianlian.com/core">
<partnerId xmlns="">18888888888</partnerId>
<password xmlns="">111111</password>
</login>
</soapenv:Body>
</soapenv:Envelope>
接收到的返回结果是
<?xml version="1.0" encoding="utf-8" ?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<soapenv:Body>
<loginResponse xmlns="http://center.lianlian.com/core">
<loginResult xmlns="">
<sessionId>caecbe03-cba5-4323-9109-4a67e548dcab</sessionId>
<partnerResult>
<partnerId>18888888888</partnerId>
<PartnerName>黄金号码</PartnerName>
</partnerResult>
<serverUrl>http://center.lianlian.com/serviceCenter/services/coreSOAP</serverUrl>
</loginResult>
</loginResponse>
</soapenv:Body>
</soapenv:Envelope>
接着再将报文作点小改动, 但不改动签名
把
<partnerId xmlns="">18888888888</partnerId>改为<partnerId xmlns="">88888888888</partnerId>
看看返回结果
<?xml version="1.0" encoding="utf-8" ?>
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<soapenv:Body>
<soapenv:Fault>
<faultcode>soapenv:Server.generalException</faultcode>
<faultstring>WSDoAllReceiver: security processing failed; nested exception is: org.apache.ws.security.WSSecurityException: The signature or decryption was invalid</faultstring>
<detail>
<ns1:hostname xmlns:ns1="http://xml.apache.org/axis/">zhou</ns1:hostname>
</detail>
</soapenv:Fault>
</soapenv:Body>
</soapenv:Envelope>
服务器返回的是签名信息不对。