Javascript 验证xml加密节点模块生成的xml签名时出现问题_Javascript_C#_Node.js_Saml 2.0_Xml Signature

Javascript 验证xml加密节点模块生成的xml签名时出现问题

javascript c# node.js

Javascript 验证xml加密节点模块生成的xml签名时出现问题,javascript,c#,node.js,saml-2.0,xml-signature,Javascript,C#,Node.js,Saml 2.0,Xml Signature,我正在实现一个SAML 2.0 node.js身份提供程序。作为概念证明，我想证明该服务可供.net消费者或服务提供商使用。我正在使用图书馆。我遇到的问题是xml SAMLResponse由npm包签名，我正在尝试使用.net web应用程序验证xml签名。验证失败以下是我编写的javascript，用于为身份提供者提供服务： function postSuccess(req,res,next,userId){ return ms.call('ms.ip.claims.getClaim

我正在实现一个SAML 2.0 node.js身份提供程序。作为概念证明，我想证明该服务可供.net消费者或服务提供商使用。我正在使用图书馆。我遇到的问题是xml SAMLResponse由npm包签名，我正在尝试使用.net web应用程序验证xml签名。验证失败

以下是我编写的javascript，用于为身份提供者提供服务：

function postSuccess(req,res,next,userId){
    return ms.call('ms.ip.claims.getClaims').then(function(claims){
      return samlp.auth({
        cert: fs.readFileSync('c:\\temp\\test.pem').toString(),
        key: fs.readFileSync('c:\\temp\\test.key').toString(),
        signatureAlgorithm: 'rsa-sha1',
        digestAlgorithm:'sha1',
        getPostURL: function(wtrealm,wreply,req,callback){
          callback(null,req.samlRequest.AssertionConsumerServiceURL);
        },
        profileMapper: profileMapper,
        issuer: '<my-company>'
      })(req,res,next);
    });
}

节点端使用的pem和密钥是从.net端使用的pfx证书生成的。我没有收到任何错误消息，只是

signedXml.CheckSignature（cert，true）

的错误结果

任何建议都将不胜感激。

对于验证签名，您无需提供密码并从.pfx加载私钥。这意味着您只需加载节点samlp端使用的相同.pem，就可以消除使用错误公钥的任何潜在问题

我获取了您的示例代码并更改了以下行：

var cert = new X509Certificate2();
cert.Import("c:\\temp\\test.pfx", "password", X509KeyStorageFlags.DefaultKeySet);

为此：

var cert = new X509Certificate2(@"C:\temp\samlp.test-cert.pem");

（该文件属于节点samlp）

使用下面的示例节点Idp（也大多是从节点samlp的测试线束中偷来的），它工作得很好：

警告以后阅读的其他人：问题中的.Net代码只是概念证明。在现实生活中，您需要比这多得多的东西来验证SAML断言并防止（例如）。使用已建立的.Net SAMLP组件（如或商业产品）更为可取。披露：我是AuthServices的贡献者（但不是所有者）。

也许打开数字签名跟踪会给你一些线索@explunit谢谢，我将对此进行研究。您确定没有使用signedXml.SignedInfo.CanonicalizationMethod=signedXml.XmlDsigExcC14NWithCommentsTransformUrl；这一行应该是不必要的，并且可能会破坏签名。@sk_2;这是可能的，但我在多次失败后补充了这一点。您在这里看到的代码是经过两天的调整，试图使验证通过的。

var cert = new X509Certificate2(@"C:\temp\samlp.test-cert.pem");

var express = require('express');
var fs = require('fs');
var path = require('path');
var app = express();
var samlp = require('samlp');

var fakeUser = {
  id: '12345678',
  displayName: 'John Foo',
  name: { familyName: 'Foo', givenName: 'John' },
  emails: [ { type: 'work', value: 'jfoo@gmail.com' } ]
};

var options = {
  issuer:     'http://myidp',
  cert:       fs.readFileSync(path.join(__dirname, 'samlp.test-cert.pem')),
  key:        fs.readFileSync(path.join(__dirname, 'samlp.test-cert.key')),
  signatureAlgorithm: 'rsa-sha1',
  digestAlgorithm:'sha1',
  RelayState: 'test',
  getPostURL: function (wtrealm, wreply, req, cb) { 
    return cb( null, 'http://localhost:2181/AuthServices/Acs')
  },
  getUserFromRequest: function(req){ 
    return fakeUser 
  }
};

app.get('/samlp', samlp.auth(options));

var server = app.listen(3000, function () {
  var host = server.address().address;
  var port = server.address().port;

  console.log('Listening at http://%s:%s', host, port);
});