发出由xml-crypto节点模块生成的validationxml签名
我正在实施一个SAML 2.0 node.js身份提供程序。 作为一个概念的certificate,我想表明,这个服务对一个.net消费者或服务提供者是可用的。 我正在使用node-samlp库。 我遇到的问题是xml SAMLResponse是由npm包签名的,我正在尝试使用.net web应用程序validationxml签名。 validation失败…
这里是我写的为服务身份提供者一块的JavaScript:
function postSuccess(req,res,next,userId){ return ms.call('ms.ip.claims.getClaims').then(function(claims){ return samlp.auth({ cert: fs.readFileSync('c:\\temp\\test.pem').toString(), key: fs.readFileSync('c:\\temp\\test.key').toString(), signatureAlgorithm: 'rsa-sha1', digestAlgorithm:'sha1', getPostURL: function(wtrealm,wreply,req,callback){ callback(null,req.samlRequest.AssertionConsumerServiceURL); }, profileMapper: profileMapper, issuer: '<my-company>' })(req,res,next); }); } 这会生成SAMLResponse并将其成功发回到我的.net Web应用程序,但是当我试图validationxml文件的签名时,我遇到了问题。
以下是.net端的validation码:
public bool IsValid(XmlDocument xmlDoc) { var cert = new X509Certificate2(); cert.Import("c:\\temp\\test.pfx", "password", X509KeyStorageFlags.DefaultKeySet); var manager = new XmlNamespaceManager(xmlDoc.NameTable); manager.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl); var nodeList = xmlDoc.SelectNodes("//ds:Signature", manager); var signedXml = new SignedXml(xmlDoc); signedXml.SignedInfo.CanonicalizationMethod = SignedXml.XmlDsigExcC14NWithCommentsTransformUrl; signedXml.LoadXml((XmlElement)nodeList[0]); return signedXml.CheckSignature(cert, true); }
在节点端使用的pem和key是从.net端使用的pfx证书生成的。 我没有收到任何错误消息,只是signedXml.CheckSignature(cert,true)的错误结果。
任何build议的话,将不胜感激。
为了validation签名,您不需要提供密码并从.pfx加载私钥。 这意味着您可以通过加载与node-samlp端使用的相同的.pem来消除任何使用错误公钥的潜在问题。
我拿你的示例代码,并更改这些行:
var cert = new X509Certificate2(); cert.Import("c:\\temp\\test.pfx", "password", X509KeyStorageFlags.DefaultKeySet);
对此:
var cert = new X509Certificate2(@"C:\temp\samlp.test-cert.pem");
(该文件与 node-samlp 的testing工具一起提供 )。
而且使用下面的示例节点Idp(大部分也是从node-samlp的testing工具中盗取的)工作正常:
var express = require('express'); var fs = require('fs'); var path = require('path'); var app = express(); var samlp = require('samlp'); var fakeUser = { id: '12345678', displayName: 'John Foo', name: { familyName: 'Foo', givenName: 'John' }, emails: [ { type: 'work', value: 'jfoo@gmail.com' } ] }; var options = { issuer: 'http://myidp', cert: fs.readFileSync(path.join(__dirname, 'samlp.test-cert.pem')), key: fs.readFileSync(path.join(__dirname, 'samlp.test-cert.key')), signatureAlgorithm: 'rsa-sha1', digestAlgorithm:'sha1', RelayState: 'test', getPostURL: function (wtrealm, wreply, req, cb) { return cb( null, 'http://localhost:2181/AuthServices/Acs') }, getUserFromRequest: function(req){ return fakeUser } }; app.get('/samlp', samlp.auth(options)); var server = app.listen(3000, function () { var host = server.address().address; var port = server.address().port; console.log('Listening at http://%s:%s', host, port); });
稍后警告其他人阅读:问题中的.Net代码只是一个概念certificate。 在现实生活中,您需要更多的工作来validationSAML断言并防止例如XML Signature Wrapping攻击 。 使用已build立的.Net SAMLP组件,如KentorIT.AuthServices或商业产品更为可取。 披露:我是AuthServices(但不是所有者)的贡献者。