关于XML-sig的权威来源

时间:2008-08-07 15:33:59

标签: xml xml-signature

我们对XML-sig有疑问,需要有关可选元素的详细信息以及一些规范化和转换内容。我们正在编写一个非常小的XML语法有效负载的规范,该有效负载将进入媒体文件的元数据,并且需要通过加密签名。我们认为我们应该使用XML-sig规范,而不是重新发明轮子,但我认为大部分内容对于我们需要的内容来说都是过度的,所以我们希望与知道细节的人进行更多的信息/对话。

具体来说,如果XML是非常基础的,没有格式化标签并且特定于我们的需求,我们是否需要关注转换或规范化?

3 个答案:

答案 0 :(得分:0)

你能告诉我们你正在使用的技术,因为这些东西和一些捷径有一些有趣的东西......即WSE2是复杂的野兽,我不喜欢错了!

我不喜欢开发人员这样做,并且有像SSL Accelorates那样的WSE2加速器,因为加密处理的成本最高,可以将其从正常代码和开发领域中删除。

如果这是您的选项 - Try look at this - ForumSystems

答案 1 :(得分:0)

如果存在选项,则执行XML签名,而只是将XML视为字节流并对其进行签名,请执行此操作。它将更容易实现,更易于理解,更稳定(没有规范化,转换,策略......)并且更快。

如果你绝对必须拥有XML DSIG(遗憾的是,我们中的一些人必须),这些天肯定是可能的,但有许多警告。你需要良好的库支持,使用Java这是JDK 1.6中的开箱即用,我不熟悉其他平台。您必须测试与签名XML的接收端的互操作性,特别是如果它们可能位于不同的平台上。

请务必阅读Why XML Security Is Broken,它基本上涵盖了有关XML规范化恐怖的所有基础,并提供了一些替代方案的指示。

答案 2 :(得分:0)

如果您需要在代码中签署XML,请检查XMLBlackbox,它为您提供规范化和所有其他转换。 XMLBlackbox还支持XAdES。