在python中验证SAML签名

2023-11-06 19:58:58

我需要使用SAML2在第3方的python中实现身份验证.我调查了pysaml2,发现这很令人困惑,当我在Ennael之前找到this question后,决定给M2Crypto一个机会.

我收到了can be found here的SAML令牌.我已经从Assertion标记(用户的SSN,IP和SAML令牌到期窗口)中提取了我需要的所有信息,但是我无法从Ennael(以及Ezra Nugrohorevised code)中获取verify_signature函数. )返回True.我还尝试将verify_EVP.reset_context(md =’sha1′)更改为verify_EVP.reset_context(md =’sha256′),但这也不起作用.

我认为我的错误一定是在signed_info部分中.我该通过什么传递给verify_signature?我是否需要进行任何预处理?我一直在研究Transform标记,但是不知道下一步在哪里.

任何帮助将不胜感激.如果有人在混淆之前需要XML来测试和帮助我,请PM PM.

编辑这是我的代码(非常类似于我链接到的东西.主要功能在底部):

def verify_signature(signed_info, cert, signature):
    from M2Crypto import EVP, RSA, X509, m2
    x509 = X509.load_cert_string(base64.decodestring(cert), X509.FORMAT_DER)
    pubkey = x509.get_pubkey().get_rsa()
    verify_EVP = EVP.PKey()
    verify_EVP.assign_rsa(pubkey)
    verify_EVP.reset_context(md='sha1')
    verify_EVP.verify_init()
    verify_EVP.verify_update(signed_info)

    return verify_EVP.verify_final(signature.decode('base64'))

def decode_response(resp):
    return base64.b64decode(resp)

def get_xmldoc(xmlstring):
    return XML(xmlstring)


def get_signature(doc):
    return doc.find('{http://www.w3.org/2000/09/xmldsig#}Signature')


def get_signed_info(signature):
    signed_info = signature.find(
        '{http://www.w3.org/2000/09/xmldsig#}SignedInfo')
    signed_info_str = tostring(signed_info)
    # return parse(StringIO(signed_info_str))
    return signed_info_str


def get_cert(signature):
    ns = '{http://www.w3.org/2000/09/xmldsig#}'
    keyinfo = signature.find('{}KeyInfo'.format(ns))
    keydata = keyinfo.find('{}X509Data'.format(ns))
    certelem = keydata.find('{}X509Certificate'.format(ns))
    return certelem.text


def get_signature_value(signature):
    return signature.find(
        '{http://www.w3.org/2000/09/xmldsig#}SignatureValue').text

def parse_saml(saml):
    dec_resp = decode_response(saml)
    xml = get_xmldoc(dec_resp)

    signature = get_signature(xml)
    signed_info = get_signed_info(signature)
    cert = get_cert(signature)
    signature_value = get_signature_value(signature)

    is_valid = verify_signature(signed_info, cert, signature_value)

更新:是否可能我需要来自第三方认证提供者的更多信息?我是否需要私钥?

解决方法:

我遇到了同样的问题,因此不得不为其开发一个模块:https://github.com/kislyuk/signxml.我选择仅依赖PyCrypto和pyOpenSSL,因为M2Crypto不那么受欢迎且维护得不好,这对兼容性(例如PyPy)和安全观点.我还使用lxml进行规范化(c14n).从signxml文档中:

from signxml import xmldsig

cert = open("example.pem").read()
key = open("example.key").read()
root = ElementTree.fromstring(data)
xmldsig(root).verify()
上一篇:OpenSAML 使用引导 I : 简介——关于OpenSAML你所需知道的一切


下一篇:此数据库处于单用户模式,当前某个用户已与其连接,