che*_*ter 12 xml xml-signature
我们有关于XML-sig的问题,需要有关可选元素的详细信息以及一些规范化和转换内容.我们正在编写一个非常小的XML语法有效负载的规范,该有效负载将进入媒体文件的元数据,并且需要通过加密签名.而不是重新发明轮子,我们认为我们应该使用XML-SIG规范,但我认为大部分是矫枉过正我们所需要的,所以我们希望与谁知道详情的人更多信息/对话.
具体来说,如果XML是非常基本的,没有用于格式化的选项卡并且特定于我们的需求,我们是否需要关注转换或规范化?
如果存在不执行 XML 签名而只是将 XML 视为字节流并对其进行签名的选项,请执行此操作。它将更容易实现、更容易理解、更稳定(无需规范化、转换、策略……)并且速度更快。
如果您绝对必须拥有 XML DSIG(遗憾的是,我们中的一些人必须拥有),现在当然是可能的,但有很多很多注意事项。你需要良好的库支持,对于 Java,这是 JDK 1.6 中开箱即用的,我对其他平台不熟悉。您必须测试与签名 XML 接收端的互操作性,特别是如果它们可能位于不同的平台上。
请务必阅读为什么 XML 安全性被破坏,它基本上涵盖了有关 XML 规范化的可怕之处的所有内容,并给出了一些替代方案的指示。