在python中验证SAML签名
作者:互联网
我需要使用SAML2在第3方的python中实现身份验证.我调查了pysaml2,发现这很令人困惑,当我在Ennael之前找到this question后,决定给M2Crypto一个机会.
我收到了can be found here的SAML令牌.我已经从Assertion标记(用户的SSN,IP和SAML令牌到期窗口)中提取了我需要的所有信息,但是我无法从Ennael(以及Ezra Nugroho的revised code)中获取verify_signature函数. )返回True.我还尝试将verify_EVP.reset_context(md =’sha1′)更改为verify_EVP.reset_context(md =’sha256′),但这也不起作用.
我认为我的错误一定是在signed_info部分中.我该通过什么传递给verify_signature?我是否需要进行任何预处理?我一直在研究Transform标记,但是不知道下一步在哪里.
任何帮助将不胜感激.如果有人在混淆之前需要XML来测试和帮助我,请PM PM.
编辑这是我的代码(非常类似于我链接到的东西.主要功能在底部):
def verify_signature(signed_info, cert, signature):
from M2Crypto import EVP, RSA, X509, m2
x509 = X509.load_cert_string(base64.decodestring(cert), X509.FORMAT_DER)
pubkey = x509.get_pubkey().get_rsa()
verify_EVP = EVP.PKey()
verify_EVP.assign_rsa(pubkey)
verify_EVP.reset_context(md='sha1')
verify_EVP.verify_init()
verify_EVP.verify_update(signed_info)
return verify_EVP.verify_final(signature.decode('base64'))
def decode_response(resp):
return base64.b64decode(resp)
def get_xmldoc(xmlstring):
return XML(xmlstring)
def get_signature(doc):
return doc.find('{http://www.w3.org/2000/09/xmldsig#}Signature')
def get_signed_info(signature):
signed_info = signature.find(
'{http://www.w3.org/2000/09/xmldsig#}SignedInfo')
signed_info_str = tostring(signed_info)
# return parse(StringIO(signed_info_str))
return signed_info_str
def get_cert(signature):
ns = '{http://www.w3.org/2000/09/xmldsig#}'
keyinfo = signature.find('{}KeyInfo'.format(ns))
keydata = keyinfo.find('{}X509Data'.format(ns))
certelem = keydata.find('{}X509Certificate'.format(ns))
return certelem.text
def get_signature_value(signature):
return signature.find(
'{http://www.w3.org/2000/09/xmldsig#}SignatureValue').text
def parse_saml(saml):
dec_resp = decode_response(saml)
xml = get_xmldoc(dec_resp)
signature = get_signature(xml)
signed_info = get_signed_info(signature)
cert = get_cert(signature)
signature_value = get_signature_value(signature)
is_valid = verify_signature(signed_info, cert, signature_value)
更新:是否可能我需要来自第三方认证提供者的更多信息?我是否需要私钥?
解决方法:
我遇到了同样的问题,因此不得不为其开发一个模块:https://github.com/kislyuk/signxml.我选择仅依赖PyCrypto和pyOpenSSL,因为M2Crypto不那么受欢迎且维护得不好,这对兼容性(例如PyPy)和安全观点.我还使用lxml进行规范化(c14n).从signxml文档中:
from signxml import xmldsig
cert = open("example.pem").read()
key = open("example.key").read()
root = ElementTree.fromstring(data)
xmldsig(root).verify()
标签:m2crypto,authentication,saml,xml,python 来源: https://codeday.me/bug/20191122/2058074.html