一步步教你如何使用 wss4j 从 KeyInfo 中省略 SecurityTokenReference

如何从 KeyInfo 中省略 SecurityTokenReference：使用 wss4j 的分步指南

引言

在使用 wss4j 对 SOAP 消息进行签名时，KeyInfo 元素通常包含一个 SecurityTokenReference 元素，该元素引用用于验证签名的公钥证书。然而，在某些情况下，需要省略 SecurityTokenReference 元素并直接包含 X509Data 元素。这篇文章将一步一步地指导你如何使用 wss4j 库从 KeyInfo 中省略 SecurityTokenReference。

步骤

1. 设置先决条件

首先，确保你已经满足以下先决条件：

• JDK 1.8 或更高版本
• Maven 或 Gradle
• wss4j 3.0.3 或更高版本

2. 创建密钥对和证书

生成一对密钥和一个自签名证书：

// 代码省略

3. 创建 KeyStore

将密钥对和证书存储在 KeyStore 中：

// 代码省略

4. 创建 SOAP 消息

创建 SOAP 消息并添加安全报头：

// 代码省略

5. 创建签名

使用 wss4j 创建签名：

// 代码省略

6. 加载证书

将证书加载到 KeyStore 中：

// 代码省略

7. 设置用户凭据

设置用于对签名进行身份验证的用户凭据：

// 代码省略

8. 设置文档信息

指定要签名的文档部分：

// 代码省略

9. 添加要签名的部分

添加 SOAP Body 部分要签名的元素：

// 代码省略

10. 设置密钥标识符类型

将密钥标识符类型设置为颁发者/序列号：

// 代码省略

11. 构建签名

构建签名并将其附加到 SOAP 消息：

// 代码省略

结果

运行上面的代码，你将生成一个签名 SOAP 消息，其中 KeyInfo 元素直接包含 X509Data 元素，而没有 SecurityTokenReference 元素。

常见问题解答

• 为什么需要省略 SecurityTokenReference 元素？

在某些情况下，由于安全或互操作性原因，省略 SecurityTokenReference 元素可能是必要的。

• 我可以在 KeyInfo 中包含其他元素吗？

是的，你可以手动将其他元素（例如 RetrievalMethod 或 KeyName）添加到 KeyInfo 中。

• 我可以使用其他密钥标识符类型吗？

是的，你可以根据需要使用其他密钥标识符类型，例如 Thumbprint 或 X509SubjectKeyIdentifier。

• 我如何验证签名？

你可以使用带有适当证书的签名验证工具来验证签名。

• 有什么替代 wss4j 库的解决方案？

还有其他库可以用于数字签名，例如 XML Security for Java (XMLSec) 和 JSR 105 XML Digital Signature API。

结论

通过使用 wss4j 库，你可以轻松地从 SOAP 消息的 KeyInfo 中省略 SecurityTokenReference 元素。这在某些安全或互操作性需求的情况下非常有用。我们已经提供了逐步指南、代码示例和常见问题解答，以帮助你完成此过程。