我正在实现SAML 2.0 node.js身份提供程序。作为概念证明,我想表明该服务可供.net消费者或服务提供商使用。我正在使用node-samlp库。我遇到的问题是xml SAMLResponse是由npm包签名的,我正在尝试使用.net Web应用程序验证xml签名。验证失败......
这是我为了提供身份提供者服务而编写的javascript:
function postSuccess(req,res,next,userId){
return ms.call('ms.ip.claims.getClaims').then(function(claims){
return samlp.auth({
cert: fs.readFileSync('c:\\temp\\test.pem').toString(),
key: fs.readFileSync('c:\\temp\\test.key').toString(),
signatureAlgorithm: 'rsa-sha1',
digestAlgorithm:'sha1',
getPostURL: function(wtrealm,wreply,req,callback){
callback(null,req.samlRequest.AssertionConsumerServiceURL);
},
profileMapper: profileMapper,
issuer: '<my-company>'
})(req,res,next);
});
}
这会生成SAMLResponse并将其成功发布回我的.net Web应用程序,但是当我尝试验证xml文件的签名时,我遇到了问题。
以下是.net方面的验证码:
public bool IsValid(XmlDocument xmlDoc)
{
var cert = new X509Certificate2();
cert.Import("c:\\temp\\test.pfx", "password", X509KeyStorageFlags.DefaultKeySet);
var manager = new XmlNamespaceManager(xmlDoc.NameTable);
manager.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
var nodeList = xmlDoc.SelectNodes("//ds:Signature", manager);
var signedXml = new SignedXml(xmlDoc);
signedXml.SignedInfo.CanonicalizationMethod = SignedXml.XmlDsigExcC14NWithCommentsTransformUrl;
signedXml.LoadXml((XmlElement)nodeList[0]);
return signedXml.CheckSignature(cert, true);
}
节点端使用的pem和密钥是从.net端的pfx证书生成的。我没有收到任何错误消息,只是signedXml.CheckSignature(cert,true)的错误结果。
任何建议的话都会非常感激。
答案 0 :(得分:1)
要验证签名,您无需提供密码并从.pfx加载私钥。这意味着只需加载与node-samlp端相同的.pem,即可消除任何错误公钥的潜在问题。
我拿了你的示例代码并更改了这些代码:
var cert = new X509Certificate2();
cert.Import("c:\\temp\\test.pfx", "password", X509KeyStorageFlags.DefaultKeySet);
对此:
var cert = new X509Certificate2(@"C:\temp\samlp.test-cert.pem");
(该文件是node-samlp的provided with the test harness。
使用下面的示例节点Idp(也主要是从node-samlp的测试工具中窃取)它运行良好:
var express = require('express');
var fs = require('fs');
var path = require('path');
var app = express();
var samlp = require('samlp');
var fakeUser = {
id: '12345678',
displayName: 'John Foo',
name: { familyName: 'Foo', givenName: 'John' },
emails: [ { type: 'work', value: 'jfoo@gmail.com' } ]
};
var options = {
issuer: 'http://myidp',
cert: fs.readFileSync(path.join(__dirname, 'samlp.test-cert.pem')),
key: fs.readFileSync(path.join(__dirname, 'samlp.test-cert.key')),
signatureAlgorithm: 'rsa-sha1',
digestAlgorithm:'sha1',
RelayState: 'test',
getPostURL: function (wtrealm, wreply, req, cb) {
return cb( null, 'http://localhost:2181/AuthServices/Acs')
},
getUserFromRequest: function(req){
return fakeUser
}
};
app.get('/samlp', samlp.auth(options));
var server = app.listen(3000, function () {
var host = server.address().address;
var port = server.address().port;
console.log('Listening at http://%s:%s', host, port);
});
警告其他人稍后阅读:问题中的.Net代码只是一个概念证明。在现实生活中,你需要更多的东西来验证SAML断言并防止例如XML Signature Wrapping attacks。使用已建立的.Net SAMLP组件(例如KentorIT.AuthServices)或商业产品更为可取。 披露:我是AuthServices的贡献者(但不是所有者)。