我正在尝试实现oauth2.0 saml承载声明流程。我不断收到错误消息:SAML2.0断言上的无效签名。当我检查ping联盟日志时,我发现:“错误[com.pingidentity.crypto.RevocationCheckerImpl]无法从http://tj.syabc.com/de.crl获取CRL”。我是SAML,OAuth和Ping的新手。有人可以帮我这个忙吗?我无法弄清楚哪里出了问题。
日志:
DEBUG [org.sourceid.saml20.bindings.BindingFactory] POST与参数:[grant_type,断言]假设绑定:oauth:token-endpoint来自:123.245.167.189推荐人:nullAuthType:null内容类型:application / x-www-form-urlencoded
DEBUG [org.sourceid.saml20.bindings.BindingFactory] POST所有标头:User-Agent:Jakarta Commons-HttpClient / 3.1 X-Forwarded-For:123.245.167.189主机:dev-ab.cdefghij.com内容长度: 6679内容类型:application / x-www-form-urlencoded
DEBUG [org.sourceid.saml20.bindings.LoggingInterceptor]收到的InMessageContext:InMessageContextentityId:null(空)virtualServerId:null绑定:oauth:token-endpoint参数:{aud = null,grant_type = urn:ietf:params:oauth:grant-type:saml2-bearer,access_token_manager_id = null,scope = null,token = *****}
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:Signature”,“ null”)
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:SignedInfo”,“ null”)
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:SignatureMethod”,“ null”)
DEBUG [org.apache.xml.security.algorithms.SignatureAlgorithm]创建URI“ http://www.w3.org/2001/04/xmldsig-more#rsa-sha256”类“ class org.apache.xml.security.algorithms.implementations.SignatureBaseRSA $ SignatureRSASHA256”]
DEBUG [org.apache.xml.security.algorithms.JCEMapper]请求URI http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
DEBUG [org.apache.xml.security.algorithms.implementations.SignatureBaseRSA]使用SHA256withRSA创建的SignatureRSA
调试[org.apache.xml.security.utils.ElementProxy] setElement(“ ds:KeyInfo”,“ null”)
DEBUG [org.apache.xml.security.keys.KeyInfo]使用0个解析器启动getX509CertificateFromInternalResolvers()
DEBUG [org.apache.xml.security.keys.KeyInfo]我无法使用每个KeyInfo密钥解析器找到X509证书
调试[org.apache.xml.security.keys.KeyInfo]用10个解析器启动getX509CertificateFromStaticResolvers()
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:X509Certificate”,“ null”)
DEBUG [org.apache.xml.security.keys.KeyInfo]我可以使用系统范围的密钥解析器找到X509证书
DEBUG [org.apache.xml.security.signature.XMLSignature] signatureMethodURI = http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
DEBUG [org.apache.xml.security.signature.XMLSignature] jceSigAlgorithm = SHA256withRSA
DEBUG [org.apache.xml.security.signature.XMLSignature] jceSigProvider = SunRsaSign
DEBUG [org.apache.xml.security.signature.XMLSignature] PublicKey = Sun RSA公共密钥,2048位参数:null模量:1617927350215188443381135056514401416227287958470078525494356887345634785634856348569456920210875139604418969141170236190038112518388868437709270721325255396928118912519070525128160210795536905494447325487563487563487563785241801359426185762339941845108272543783972445342058413806701973776945005862141207085447828790024173779839761730043603411089543875634875634785638775218060016314660386120193959812419378216403990537067448703283448222852580195521484077723364999929641610176653545538010758991792166347856347856347856347856378251951756388128297517374611372433877874726025770230431784060559006474073785634756347856347856347公共指数:68567
DEBUG [org.apache.xml.security.utils.SignerOutputStream]规范化SignedInfo:
DEBUG [org.apache.xml.security.utils.SignerOutputStream] E25VcCFCE0xmj9jSaAsfsfsddaGFXFOpCLXznnVoag =
警告[org.apache.xml.security.signature.XMLSignature]签名验证失败。
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:Reference”,“ null”)
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:Transforms”,“ null”)
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:Signature”,“ null”)
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:SignedInfo”,“ null”)
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:SignatureMethod”,“ null”)
DEBUG [org.apache.xml.security.algorithms.SignatureAlgorithm]创建URI“ http://www.w3.org/2001/04/xmldsig-more#rsa-sha256”类“ class org.apache.xml.security.algorithms.implementations.SignatureBaseRSA $ SignatureRSASHA256”]
DEBUG [org.apache.xml.security.algorithms.JCEMapper]请求URI http://www.w3.org/2001/04/xmldsig-more#rsa-sha256
DEBUG [org.apache.xml.security.algorithms.implementations.SignatureBaseRSA]使用SHA256withRSA创建的SignatureRSA
调试[org.apache.xml.security.utils.ElementProxy] setElement(“ ds:KeyInfo”,“ null”)
DEBUG [org.apache.xml.security.keys.KeyInfo]使用0个解析器启动getX509CertificateFromInternalResolvers()
DEBUG [org.apache.xml.security.keys.KeyInfo]我无法使用每个KeyInfo密钥解析器找到X509证书
调试[org.apache.xml.security.keys.KeyInfo]用10个解析器启动getX509CertificateFromStaticResolvers()
DEBUG [org.apache.xml.security.utils.ElementProxy] setElement(“ ds:X509Certificate”,“ null”)
DEBUG [org.apache.xml.security.keys.KeyInfo]我可以使用系统范围的密钥解析器找到X509证书
DEBUG [org.sourceid.oauth20.handlers.TokenEndpointRequestHandler]处理令牌端点中的正常异常条件:org.sourceid.oauth20.handlers.AccessTokenRequestException:invalid_grant:SAML 2.0断言上的INVALID签名
DEBUG [org.sourceid.servlet.HttpServletRespProxy]刷新cookie:添加Cookie {PF = hashedValue:_8bM9iEmyachghgchgzgcgwuifgxvLhExyTx3k;路径= /; maxAge = -1; domain = null}
DEBUG [org.sourceid.saml20.bindings.LoggingInterceptor]传输的响应。 OutMessageContext:OutMessageContextentityId:samlbearer(空)virtualServerId:null绑定:oauth:token-endpoint参数:{error = invalid_grant,error_description = SAML 2.0断言上的无效签名}签名政策:BINDING_DEFAULT
这是一个错误,指出它正在尝试从http://tj.syabc.com/de.crl检索CRL以验证正在使用的证书,但无法这样做。如果您使用“锚定”证书进行签名,并且在“安全性”下拥有并拥有“已撤销处理不可检索的CRL” >>证书吊销检查,那么这可能是您的问题,但不太可能。您更有可能正在使用错误的证书或类似的东西进行检查。
[更新]以下几行表明,基于在“静态解析器”中找到的证书生成的签名(即,它发现可以根据配置使用该证书来验证签名的证书)与断言中的内容不匹配由于某些原因:
DEBUG [org.apache.xml.security.utils.SignerOutputStream] E25VcCFCE0xmj9jSaAsfsfsddaGFXFOpCLXznVoag=
WARN [org.apache.xml.security.signature.XMLSignature] Signature verification failed.
您可能期望断言相对于整个响应已签名,反之亦然。也就是说,您的签名配置与身份提供者的配置不同。
再次,这都是猜测,因为这里仍然没有足够的数据来回答问题。