我正在从事的一个iOS项目被扔进了XML数字签名的世界;我需要验证 SAML 断言的数字签名。
我一直在阅读很多关于验证 XML 签名的信息,我想我了解了它如何使用私钥对摘要进行签名的基础知识,并且我可以使用公钥(应该在随附的 x509 证书中)对其进行验证,这样我就可以确定 SAML 令牌的来源。
我找到了一个 C 库 xmlsec,它看起来有很多验证签名所需的代码,并且一直在努力实现它。但是,我一直无法弄清楚。据我了解,我很确定我必须用我的代码编译库。我已经将源代码复制到我的项目中,但是在编译过程中出现有关未定义内容的错误。
在我花费无数个小时走这条路之前,我想我会联系社区,看看是否有人有验证xml数字签名的经验,以及他们是否可以提供有关在iOS项目中实现它的见解。
对于它的价值,以下是我从单点登录服务中获得的 SAML 断言的一部分:
<?xml version="1.0" encoding="UTF-16"?>
<saml:Assertion ID="oQ2YZuHBspA_f91HM8o3.o6ZZla" IssueInstant="2011-05-06T00:51:40.733Z" Version="2.0" xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion" xmlns:xs="http://www.w3.org/2001/XMLSchema">
<saml:Issuer>[...]</saml:Issuer>
<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
<ds:SignedInfo>
<ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
<ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<ds:Reference URI="#oQ2YZuHBspA_f91HM8o3.o6ZZla">
<ds:Transforms>
<ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/>
</ds:Transforms>
<ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<ds:DigestValue>zj4pCHBNMln+28Jq/v1YIScfiuw=</ds:DigestValue>
</ds:Reference>
</ds:SignedInfo>
<ds:SignatureValue>[...]</ds:SignatureValue>
<ds:KeyInfo>
<ds:X509Data>
<ds:X509Certificate>MIIDVjCCAj6gAwIBAgIGAS67wkWCMA0GCSqGSIb3[...]7bgf</ds:X509Certificate>
</ds:X509Data>
<ds:KeyValue>
<ds:RSAKeyValue>
<ds:Modulus>[...]</ds:Modulus>
<ds:Exponent>AQAB</ds:Exponent>
</ds:RSAKeyValue>
</ds:KeyValue>
</ds:KeyInfo>
</ds:Signature>
为 iPhone 编译xmlsec有点棘手,但可以做到。
首先,一些一般考虑:
这样的项目相当于运行一个脚本(配置),然后执行
make。 配置将创建一个为您的确切系统配置量身定制的 Makefile,并允许您选择要在构建中包含或不包含哪些xmlsec选项;xmlsec有几个来自其他库的依赖关系:libssl、libcrypto(openssl 的一部分)、libxslt、libxml2、libz和libiconv。iPhone SDK中只有libxml2和libz可用,您需要在系统上提供所有其他可用且已编译。这些库都是 GNU 项目,您可以通过应用与我稍后描述的方法相同的方法来编译xmlsec.一个注意事项:libxslt。Apple在iPhone SDK中包含libxslt,但不提供.h,因此您不能链接到iPhone SDK附带的libxslt.dylib,您必须自己编译它。将源文件从
xmlsec导入iPhone项目是很困难的,除非你知道哪些文件适合xmlsec,哪些是简单的依赖项(xmlsec源代码树包括openSSL,gnutls等,这些不一定是必要的),但最重要的是,因为您无法控制要在构建中包含(或排除)XMLSec的哪些可选功能, 就像配置为您所做的那样;因此,我更喜欢的方法是正确使用配置以生成特定于 iPhone 的 Makefile,然后构建一个静态库(因为不允许在 iPhone 上使用外部 dylib);
xmlsec是一个使用 GNU 构建系统的 GNU 项目;构建一个具体来说,为iPhone编译xmlsec的步骤是:
0 - 安装和编译所有依赖项; 如果找不到已经为 iPhone 移植的依赖项,则可以(递归地)对它们应用相同的方法;
1 - cd 到 libxmlsec 根目录并执行命令:
CFLAGS=" -arch armv6 -std=c99 -isysroot
/Volumes/ext/Developer/Platforms/iPhoneOS.platform/Developer/SDKs/iPhoneOS4.2.sdk"
CC="/Volumes/ext/Developer/Platforms/iPhoneOS.platform/Developer/usr/bin/llvm-gcc-4.2"
./configure --host=arm-apple-darwin10 --disable-shared --disable-crypto-dl
--with-libxml=<path_to_where_libxml_is> --with-libxslt=<path_to_where_libxslt_is> --with-openssl=<path_to_where_openssl_is>
在上面的命令中,我假设编译器会找到 libxml 标头和可执行文件,因为它们是 SDK 的一部分。否则也包括它们。
2 - 配置将产生大量输出,如果一切正常,您将能够执行以下命令:
make
3 - 这应该运行良好到完成并生成您的输出文件:您可以在 iPhone 项目中链接的src/.libs/libxmlsec1.a(以及所有其他依赖于库的内容)。
最后,关于为 iPhone 编译 openSSL 的教程。